Idm-системы
Системы IdM (Identity management или Identity and access management (IAM)) нацелены на автоматизацию многочисленных задач, возникающих на протяжении жизненного цикла идентификационных данных. Они обеспечивают взаимодействие отдела кадров, службы безопасности и ИТ-администраторов, снабжая их необходимым программным инструментарием.
IdM – это процессы, технологии и системы для управления жизненным циклом идентификационных объектов. Эти объекты могут представлять собой:
Жизненный цикл любого из перечисленных объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (прием на работу, должностные ротации, перевод в другое подразделение, увольнение).
IdM-системы реализуют следующие категории процессов:
Активный сценарий
На рисунке представлен пример взаимодействия веб-сервиса (RP) и активного клиента, который хочет использовать данный сервис. Веб-сервис представляет клиенту политику, в которой описаны его адреса, привязки, контракты. Помимо этого в политике указан набор необходимых сервису утверждений, например, имя, адрес электронной почты, роль.
А также адрес ЦИ, где клиент может получить утверждения. После получения политики (1), клиент знает, куда обратиться для аутентификации. Клиент отправляет запрос к ЦИ на утверждения (2), необходимые доверяющей стороне. В задачи ЦИ входит: аутентифицировать пользователя и выпустить электронный идентификатор, с требуемым набором утверждений. В конце (3) клиент делает запрос доверяющей стороне, пересылая электронный идентификатор в заголовке SOAP сообщения.
Аутентификация и авторизация
Многие заказчики воспринимают IdM-решения как краеугольный камень корпоративной системы информационной безопасности. Отдельной частью IdM-решений являются системы аутентификации и авторизации. Отвечая потребностям бизнеса, эксперты в области информационной безопасности изучили множество успешных и не очень систем идентификации, сделали ряд выводов и сформулировали требования к системам идентификации.
Назначение
Решение Защищённая мобильность предназначено для безопасного доступа и взаимодействия сотрудников коммерческих организаций и государственных учреждений с корпоративными информационными ресурсами при помощи мобильных устройств iPad и iPhone.
Решение Защищённая мобильность включает линейку продуктов, являющихся самостоятельными законченными iOS-приложениями, доступными для приобретения в составе простых или сложных конфигураций. Каждый продукт разделяет общие для всей линейки принципы безопасности, архитектуры и пользовательского интерфейса, что позволяет наращивать итоговую конфигурацию, не опасаясь проблем совместимости как приложений между собой, так и данных, которыми эти приложения обмениваются.
Безопасность взаимодействия обеспечивается за счет применения сертифицированных средств криптографической защиты информации СКЗИ КриптоПро CSP в составе со специализированными продуктами, позволяющими решать основной круг прикладных задач:
- Установление защищенного удаленного доступа к внутренним информационным ресурсам организации: электронной почте, календарям сотрудников, адресной книге организации, внутренним порталам, библиотекам файлов и документов, системам управления совещаниями, спискам задач и прочим;
- Обеспечение юридически значимого электронного документооборота с применением сертифицированных средств криптографической защиты информации;
- Взаимодействие с площадками электронных торгов и аукционов, b2b услуг, госуслуг;
- Обеспечение конфиденциальности электронных почтовых сообщений;
- Обеспечение конфиденциальности информации, хранимой на мобильном устройстве;
Состав решения
В составе комплексного решения Защищённая мобильность могут использоваться следующие клиентские продукты для платформы iOS (iPad и iPhone):
Все клиентские продукты интегрированы для обмена между собой защищенными данными.
Установка клиентских продуктов линейки Защищенная мобильность, включая компоненты криптографической защиты, не требует выполнения процедуры взлома (jailbreak) iOS-устройства.
Для функционирования клиентских продуктов также могут использоваться следующие серверные компоненты:
Технологическая совместимость
Продукты линейки Защищенная мобильность поддерживают следующие технологии, службы и протоколы:
- TLS (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
- SSL/TLS (RSA, SHA-1, AES)
- LDAP/Active Directory
- SMTP/IMAP/ActiveSync
- S/MIME (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
- S/MIME (RSA, SHA-1, AES)
- ПАК КриптоПро УЦ
- КриптоПро OCSP
- КриптоПро TSP
- CAdES, PKCS#7
- PKCS#11
- X.509 RSA, X.509 ГОСТ
- Почтовый сервер Microsoft Exchange Server, IBM Lotus Domino
- Формат документов Microsoft Office
- MOSS (Sharepoint)
- WebDAV
- FTP
Функции безопасности
Все продукты в составе решения Защищенная мобильность реализует разнообразные средства защиты информации.
Защита канала подключения к инфраструктуре организации, реализована на основе протокола SSL/TLS.
Реализуется шифрование и контроль целостности хранимой в памяти устройства информации.
Доступ к закрытому ключу подписи пользователя защищается PIN-кодом. По умолчанию закрытый ключ, зашифрованный на PIN-коде, хранится в памяти iOS-устройства. В качестве дополнительной меры безопасности закрытый ключ может располагаться на внешнем носителе (смарт-карте), подключаемой при помощи специального считывателя.
iOS-приложение реализует комплекс мер по защите информации. В дополнение к штатным функциям, реализованным на уровне каждого приложения линейки Защищенная мобильность, пользователю доступны операции прикладного уровня, такие как создание или проверка электронной подписи документа, шифрование почтового сообщения и т.п.
Реализация функций криптографической защиты не требует выполнения процедуры взлома (jailbreak) iOS-устройства.
Уникальной особенностью решения Защищенная мобильность является поддержка двух криптографических стандартов: ГОСТ-алгоритмы (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89) и западные алгоритмы (RSA, SHA-1, AES). Пользователи имеют возможность в рамках одного набора приложений обмениваться информацией с российскими и зарубежными коллегами.