Централизованная система управления доступом

Централизованная система управления доступом

Устанавливаются на двери:

  • Защелки (электрозащелки) — наименее защищены от взлома, поэтому их обычно устанавливают на внутренние двери (внутриофисные и т. п.) Электрозащелки, как и другие типы замков, бывают открываемые напряжением (то есть дверь открывается при подаче напряжения питания на замок), и закрываемые напряжением (открываются, как только с них снимается напряжение питания, поэтому рекомендованы для использования пожарной инспекцией).
  • Электромагнитные замки — практически все запираются напряжением, то есть пригодны для установки на путях эвакуации при пожаре.
  • Электромеханические замки — достаточно устойчивы ко взлому (если замок прочный механически), многие имеют механический перевзвод (это значит, что если на замок подали открывающий импульс, дверь будет в открытом состоянии до тех пор, пока её не откроют и снова не закроют).

Устанавливаются на проходах / проездах:

  • Турникеты — используются на проходных предприятий, общественно значимых объектах (стадионы, вокзалы, метро) — везде, где требуется организовать контролируемый проход большого количества людей. Турникеты делятся на два основных типа: поясные и полноростовые. Если рядом с турникетом нет быстро открывающегося свободного прохода (на случай пожара), поясной турникет должен быть оборудован т. н. планками «антипаника» — планками, переламывающимися усилием нормального человека (требование пожарной инспекции).

  • Шлюзовые кабины — используются в банках, на режимных объектах (на предприятиях с повышенными требованиями к безопасности).
  • Ворота и шлагбаумы — в основном, устанавливаются на въездах на территорию предприятия, на автомобильных парковках и автостоянках, на въездах на придомовую территорию, во дворы жилых зданий. Основное требование — устойчивость к климатическим условиям и возможность автоматизированного управления (при помощи системы контроля доступа). Когда речь идёт об организации контроля доступа проезда, к системе предъявляются дополнительные требования — повышенная дальность считывания меток, распознавание автомобильных номеров (в случае интеграции с системой видеонаблюдения).

Идентификатор

Основные типы исполнения — карточка, брелок, метка. Является базовым элементом системы контроля доступа, поскольку хранит код, который служит для определения прав («идентификации») владельца. Это может быть «таблетка», используемая в домофонах, бесконтактная (proximity) карта или брелок, карта с магнитной полосой (устаревший тип идентификатора). В качестве идентификатора может выступать так же код, вводимый на клавиатуре, а также отдельные биометрические признаки человека — отпечаток пальца, рисунок сетчатки или радужной оболочки глаза, трехмерное изображение лица. Надежность (устойчивость ко взлому) системы контроля доступа в значительной степени определяется типом используемого идентификатора: например, наиболее распространенные proximity-карты или брелки легко подделываются в мастерских по изготовлению ключей на оборудовании, имеющемся в свободной продаже. Поэтому для объектов, требующих более высокого уровня защиты, подобные идентификаторы не подходят. Принципиально более высокий уровень защищенности обеспечивают т. н. «смарт-карты», в которых код карты хранится в специальной защищенной области, пароль доступа к которой назначает сам владелец карты. Наиболее часто встречаются следующие форматы смарт-карт [2] :

  • Mifare® Standard 1K. Общий объём памяти равен 1 килобайту, который поделен на 16 секторов по 4 блока размером 16 байт. Используется оригинальный криптоалгоритм компании Philips.
  • Mifare® Standard 4K. Аналогична по устройству карте 1K. Общий объём памяти равен 4 килобайтам, первые два из которых повторяют структуру килобайтной карты, а вторая половина памяти имеет сектора увеличенного размера.
  • DESFire. Дальнейшее развитие карт Mifare®. Объём памяти равен 4 килобайтам, при этом отсутствует жесткая структура памяти. Вместо неё карта имеет файловую структуру, задаваемую пользователем (количество и размеры файлов). Собственный алгоритм криптозащиты заменен на стандартизированные DES или Triple DES.
  • Mifare® ProX. Карта со встроенным микропроцессором и возможностью загрузки в неё пользовательских приложений. Объём перепрограммируемой памяти составляет 4,8 или 16 килобайт. В различных версиях имеет от одного (DES/3DES) до трех аппаратных криптопроцессоров. Кроме бесконтактного имеет контактный интерфейс по ISO 7816.
  • SmartMX. Самая современная карта, разработанная для использования как в банковских приложениях, так и во вводимых во всем мире электронных документах. Основные возможности аналогичны карте Mifare® ProX, объём перепрограммируемой памяти составляет 36 или 72 килобайта. Карта может иметь до 3-х интерфейсов: бесконтактный ISO 14443A, контактные ISO 7816 и USB.

Кроме непосредственного использования в системах контроля доступа, смарт-карт широко применяются и в других областях. Например, в локальных расчетных системах (оплата обедов в столовой и других услуг), системах лояльности и так далее.

Контроллер

Это «мозг» системы: именно контроллер определяет, пропустить или нет владельца идентификатора в данную дверь, поскольку хранит в своей базе памяти коды идентификаторов со списком прав каждого из них. Когда человек предъявляет (подносит к считывающему устройству) идентификатор, считанный из него код сравнивается с хранящимся в базе, на основании чего принимается решение об открытии двери. Контроллер для своей работы требует электропитания, поэтому профессиональные контроллеры, как правило, имеют собственный аккумулятор, который поддерживает его работоспособность от нескольких часов до нескольких суток на случай аварии электросети.

Считыватель

Это устройство, которое получает («считывает») код идентификатора и передает его в контроллер. Варианты исполнения считывателя зависят от типа идентификатора: для «таблетки» — это два электрических контакта (в виде «лузы»), для proximity-карты — это электронная плата с антенной в корпусе, а для считывания, например, рисунка радужной оболочки глаза в состав считывателя должна входить телевизионная камера. Если считыватель устанавливается на улице (ворота, наружная дверь здания, проезд на территорию автостоянки), то он должен выдерживать климатические нагрузки — перепады температур, осадки — особенно, если речь идет об объектах в районах с суровыми климатическими условиями. А если существует угроза вандализма, необходима ещё и механическая прочность (стальной корпус).

Отдельно можно выделить считыватели для дальней идентификации объектов (с расстоянием идентификации до 50 м.). Такие системы удобны на автомобильных проездах, парковках, на въездах на платные дороги и т. п. Идентификаторы (метки) для таких считывателей, как правило, активные (содержат встроенную батарейку).

Конверторы среды

Служат для подключения аппаратных модулей СКУД друг к другу и к ПК. Например, являются популярными конверторы EIA-485 ↔ RS-232, EIA-485 ↔ Ethernet. Это также необязательный элемент. Как пример — некоторые контроллеры СКУД уже имеют встроенный интерфейс Ethernet, позволяющий без использования каких-либо дополнительных устройств подключаться к ПК, связываться друг с другом.

Вспомогательное оборудование

Блоки бесперебойного питания, датчики, кнопки, проводка и т. д.

Программное обеспечение

Не является обязательным элементом системы контроля доступа, используется в случае, когда требуется обработка информации о проходах, построение отчетов либо когда для начального программирования, управления и сбора информации в процессе работы системы необходимо сетевое программное обеспечение, устанавливаемое на один или несколько ПК, соединенных в сеть. [3]

Все СКУД можно отнести к двум большим классам или категориям: сетевые системы и автономные системы. [4]

Сетевые системы

В сетевой системе все контроллеры соединены с компьютером, что дает множество преимуществ для крупных предприятий, но совсем не требуется для «однодверной» СКУД. Сетевые системы удобны для больших объектов (офисы, производственные предприятия), поскольку управлять даже десятком дверей, на которых установлены автономные системы, становится чрезвычайно трудно. Незаменимы сетевые системы в следующих случаях:

  • если необходима информация о произошедших ранее событиях (архив событий) либо требуется дополнительный контроль в реальном времени. Например, в сетевой системе существует функция фотоверификации: на проходной при поднесении входящим человеком идентификатора к считывателю, служащий (вахтер, охранник) может на экране монитора видеть фотографию человека, которому в базе данных присвоен данный идентификатор, и сравнить с внешностью проходящего, что подстраховывает от передачи карточек другим людям;
  • если необходимо организовать учёт рабочего времени и контроль трудовой дисциплины;
  • если необходимо обеспечить взаимодействие (интеграцию) с другими подсистемами безопасности видеонаблюдением, охранно-пожарной сигнализацией).

В сетевой системе из одного места можно не только контролировать события на всей охраняемой территории, но и централизованно управлять правами пользователей, вести базу данных. Сетевые системы позволяют организовать несколько рабочих мест, разделив функции управления между разными сотрудниками и службами предприятия.

Читайте также:  Мир мото джи пи

В сетевых системах контроля доступа могут применяться беспроводные технологии, так называемые радиоканалы. [5] . Использование беспроводных сетей зачастую определяется конкретными ситуациями: сложно или невозможно проложить проводные коммуникации между объектами, сокращение финансовых затрат на монтаж точки прохода и т. д. Существует большое количество вариантов радиоканалов, однако в СКУД используются только некоторые из них.

  • Bluetooth. Данный вид беспроводного устройства передачи данных представляет собой аналог Ethernet. Его особенность заключается в том, что отпадает необходимость прокладывать параллельные коммуникации для объединения компонентов при использовании интерфейса RS-485.
  • Wi-Fi. Основное преимущество данного радиоканала заключается в большой дальности связи, способной достигать нескольких сотен метров. Это особенно необходимо для соединения между собой объектов на больших расстояниях (?). При этом сокращаются как временные, так и финансовые затраты на прокладку уличных коммуникаций.
  • ZigBee. Изначально сферой применения данного радиоканала была система охранной и пожарной сигнализации. Технологии не стоят на месте и активно развиваются, поэтому ZigBee может использоваться и в системах контроля доступа. Данная беспроводная технология работает в нелицензируемом диапазоне 2,45 ГГц.
  • GSM. Преимущество использования данного беспроводного канала связи — практически сплошное покрытие. К основным методам передачи информации в рассматриваемой сети относятся GPRS,SMS и голосовой канал.

Нередки ситуации, когда установка полноценной системы безопасности может оказаться неоправданно дорогой для решения поставленной задачи. В таких ситуациях оптимальным решением будет установка автономного контроллера на каждую из точек прохода, которые необходимо оборудовать доступом.

Автономные системы

Автономные системы дешевле, проще в эксплуатации, не требуют прокладки сотен метров кабеля, использования устройств сопряжения с компьютером, самого компьютера.

При этом к минусам таких систем относится невозможность создавать отчеты, вести учёт рабочего времени, передавать и обобщать информацию о событиях, управляться дистанционно. При выборе автономной системы с высокими требованиями по безопасности рекомендуется обратить внимание на следующее:

  • Считыватель должен быть отделен от контроллера, чтобы провода, по которым возможно открывание замка, были недоступны снаружи.
  • Контроллер должен иметь резервный источник питания на случай отключения электропитания.
  • Предпочтительно использовать считыватель в вандалозащищенном корпусе.

В составе автономной системы контроля доступа используются также электромеханические замки, передающие информацию по беспроводным каналам связи: в двери устанавливается механический замок с электронным управлением и встроенным считывателем бесконтактных карт. Далее замок по радиоканалу связан с хабом, который уже по проводам обменивается информацией с рабочей станцией, на которой установлено программное обеспечение.

Дополнительные возможности

  • GSM модуль, который позволяет посылать SMS с информацией о проходе (используется, например, в школах) [6] .
  • для сетевой СКУД — возможность удаленного управления по сети Интернет (например, для управления системой контроля доступа из центрального офиса, если предприятие имеет множество филиалов).
  • комплекс для персонализации пластиковых карт (принтер для печати на пластиковой карте данных владельца, в том числе, фотографии).
  • режим «антипассбэк» — если человек уже прошел на охраняемую территорию, то повторное предъявление его идентификатора на вход будет запрещено (пока карта не будет предъявлена на выход), что исключит возможность прохода по одной карте двух и более человек. При этом сетевая СКУД позволяет организовать такой режим на всех точках прохода, объединённых в сеть, что обеспечивает полнофункциональную защиту по всему периметру контролируемой территории.

Примеры объектов, на которые ставится скуд

  • офисы компаний, бизнес-центры;
  • банки;
  • учреждения образования (школы, техникумы, вузы);
  • промышленные предприятия;
  • автостоянки, парковки;
  • частные дома, жилые комплексы, коттеджи;
  • гостиницы;
  • общественные учреждения (спорткомплексы, музеи, метрополитен и др.)

Основные типы компаний на рынке [7]

  • Производители
  • Дистрибьюторы
  • Проектировщики
  • Интеграторы
  • Торговые дома
  • Монтажные организации
  • Конечные заказчики
  • Крупные конечные заказчики (имеют собственную службу безопасности)

Как работает система контроля доступа

Сферы применения систем контроля и управления доступом разнообразны. Наиболее часто СКУД используется при организации доступа людей в помещение (офис), на территорию объекта, проезда автотранспорта и т. д.

Стандартизация

  • В России действует государственный стандарт на СКУД: ГОСТ Р 51241-2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
  • В индустрии существуют устоявшиеся стандартные способы решения тех или иных задач. К ним относится использование EIA-485 (RS-485) для передачи данных между контроллерами и программным обеспечением, использование протоколов Wiegand или 1-Wire для передачи данных от УВИП к контроллеру СКУД.

См. также

Примечания

Ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Система контроля и управления доступом" в других словарях:

система контроля и управления доступом — Совокупность совместно действующих технических средств (контроля и управления), предназначенных для контроля и управления доступом и обладающих технической, информационной, программной и эксплуатационной совместимостью. [РД 25.03.001 2002]… … Справочник технического переводчика

Система контроля и управления доступом — совокупность совместно действующих технических средств (контроля и управления), предназначенных для контроля и управления доступом и обладающих технической, информационной, программной и эксплуатационной совместимостью. Источник: Приказ МВД РФ… … Официальная терминология

система контроля и управления доступом — 3.11 система контроля и управления доступом: По ГОСТ Р 51241. Источник … Словарь-справочник терминов нормативно-технической документации

Система контроля и управления доступом — Совокупность средств контроля и управления, обладающих технической, информационной, программной и эксплуатационной совместимостью. ГОСТ Р 51241 98 … Комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений

система контроля и управления доступом (СКУД) — 3.28 система контроля и управления доступом (СКУД): Совокупность средств контроля и управления доступом, обладающих технической, информационной, программной и эксплуатационной совместимостью. Источник … Словарь-справочник терминов нормативно-технической документации

Система контроля и управления доступом (СКУД) — Система обеспечения санкционированного входа в здание и в зоны ограниченного доступа и выхода из них путем идентификации личности по комбинации различных признаков: вещественный код (виганд карточки, ключи touch memory и другие устройства),… … Комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений

Система контроля и управления — 4 Система контроля и управления Реализована на любых технических средствах Источник: РД 153 34.1 04.504 01: Тип … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р 54831-2011: Системы контроля и управления доступом. Устройства преграждающие управляемые. Общие технические требования. Методы испытаний — Терминология ГОСТ Р 54831 2011: Системы контроля и управления доступом. Устройства преграждающие управляемые. Общие технические требования. Методы испытаний оригинал документа: доступ: Перемещение людей (субъектов доступа), транспорта и других… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р 51241-2008: Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний — Терминология ГОСТ Р 51241 2008: Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний оригинал документа: 3.1 аутентификация: Процесс опознавания субъекта или объекта путем сравнения… … Словарь-справочник терминов нормативно-технической документации

Система контроля — ЗАГРЯЗНЕНИЯ АТМОСФЕРЫ 12. Система контроля E. Inspection system F. Système du contrôle По ГОСТ 16504 81 Источник: ГОСТ 17.2.1.03 84: Охрана природы. Атмосфера. Термины и определения контроля загрязнения … Словарь-справочник терминов нормативно-технической документации

Как внедрение единой системы управления учетными записями и правами доступа пользователей помогли Россельхозбанку оптимизировать ключевые бизнес-процессы

Россельхозбанк (РСХБ) — один из крупнейших российских банков, работающий с юридическими и физическими лицами. По ключевым показателям деятельности и активам он входит в топ-5 российских банков. При этом визитной карточкой РСХБ являются не только продуманная стратегия, профессионализм сотрудников, но и четкость, а также клиентоориентированность бизнес-процессов. Еще одно его отличие от многих других финансово-кредитных организаций — особое внимание к вопросам информационной безопасности, в частности к управлению доступом и его контролю.

Читайте также:  Топ самых покупаемых товаров на алиэкспресс

Работу сотрудников Банка поддерживают десятки информационных систем (ИС) различного назначения, среди которых есть централизованные и децентрализованные, используемые всеми подразделениями или только определенными региональными офисами, массовые или предназначенные лишь для ограниченного количества ответственных лиц. Многие ИС активно развиваются, в них появляются новые функции, они становятся нужны новым группам пользователей. При этом подход РСХБ отличается даже не числом и разнообразием ИС, а тщательностью проработки ролевой модели и регламентов управления доступом, охватывающих все ИС и все аспекты управления доступом. Стратегия активного развития Банка (особенно его розничного направления) потребовала ускорения технологии управления и контроля доступом, проведения ее глубокой автоматизации на основе современного IDM-решения, и при этом сохранения и использования всего ценного, что имелось в нормативных документах, методических наработках и практиках работы предшествующего периода.

Управление доступом по-новому

Технической основой новой системы управления доступом РСХБ стал российский программный продукт Avanpost IDM, разработчиком которого стала компания «Аванпост». В результате его внедрения в РСХБ была создана единая централизованная система, контролирующая управление доступом в централизованных и децентрализованных ИС, включая массово используемые и критические для всего Банка: автоматизированную банковскую систему, корпоративную почту, лес доменов Microsoft Active Directory, ряд доменов Lotus Domino (объединяют решения класса groupware и различные базы данных для работы со слабо структурированной информацией). Также к системе управления доступом подключены десятки ИС, применяемых во всех регионах России. При этом IDM-решение работает как в полностью автоматическом режиме, так и в режиме ручного исполнения — в зависимости от категории конкретной управляемой ИС. Выбор режима исполнения определяется экономической целесообразностью, оцениваемой в соответствии с регламентами Банка. В настоящее время Avanpost IDM управляет правами большинства пользователей информационных систем Россельхозбанка, а это — десятки тысяч человек и свыше 80 тыс. учетных записей.

Как работает новая система управления доступом

В Avanpost IDM применяется сразу три подхода к автоматизации выдачи и отзыва прав пользователей в различных ИС:

• автоматическая обработка кадровых событий (на основе ролевой модели и за счет интеграции IDM с источниками кадровых событий и с управляемыми системами);

• автоматизация процессов формирования запросов полномочий самими пользователями и дальнейшей обработки этих запросов по сложным регламентам;

• автоматическое предотвращение недопустимых сочетаний ролей (SOD-конфликтов).

Интеграция IDM с источником кадровых событий и управляемыми ИС — важнейшее преимущество нашего решения. За такую интеграцию в IDM отвечают так называемые модули сопряжения (коннекторы). Обилие и разнообразие ИС, с которыми работают пользователи банка, а также сложность IT-ландшафта привели к тому, что в данном проекте проявилось три важных преимущества Avanpost IDM:

• обилие готовых коннекторов к различному системному, инфраструктурному и прикладному ПО;

• относительная простота создания новых модулей сопряжения;

• возможность после настройки коннекторов проводить автоматические аудиты прав доступа, которые выявляют отклонения фактических прав доступа от нормативных, причем во всех подключенных к IDM управляемых системах.

В ходе внедрения Avanpost IDM в РСХБ не только произведена вся необходимая настройка коннекторов и запущен аудит прав доступа, но и настроены отчеты, необходимые для контроля процессов и расследования инцидентов ИБ.

Ролевая модель реализована на бумаге и в IDM. Она задает нормативные наборы прав различных категорий пользователей в информационных системах предприятия. В Avanpost IDM имеется полный набор встроенных инструментов и средств автоматизации для создания ролевой модели и поддержания ее в актуальном состоянии, но несмотря на это, для многих организаций методически корректная работа с ролевыми моделями оказывается сложнейшей, а зачастую и неразрешимой задачей. Однако в РСХБ этой проблемы не возникло, поскольку, приступая к внедрению Avanpost IDM, он уже имел актуальную ролевую модель, технологию ее актуализации (в виде неукоснительно соблюдаемых административных регламентов) и четко описанные процессы предоставления доступа для каждой из своих информационных систем. Эти наработки позволили полностью раскрыть потенциал Avanpost IDM и провести внедрение методически корректно. Процессы запроса полномочий в Avanpost IDM позволяют пользователям самостоятельно создавать заявки на получение / отзыв прав, а также организовать их согласование по сценариям любой сложности. При этом списки визирующих лиц, маршруты согласования заявок, правила делегирования полномочий и другие аспекты гибко настраиваются. Для управления процессами в Avanpost IDM имеются визуальный конструктор процессов и полнофункциональная система управления workflow, достаточно гибкая, чтобы оперировать сложными регламентами из сотен шагов.

Предотвращение SOD-конфликтов

Встроенная в Avanpost IDM функция предотвращения SOD-конфликтов (из арсенала решений класса IGA) позволила уже при оформлении заявок полностью предотвратить наделение сотрудников потенциально опасными сочетаниями прав, совмещение которых запрещено действующими регламентами Банка.

Еще до внедрения IDM в Банке была выработана система запретов на совмещение ролей, которая предотвращала или существенно снижала многие риски, но была трудоемкой. Поскольку механизм работы с SOD-конфликтами был реализован еще в пятом релизе Avanpost IDM, при внедрении круг проверок был даже расширен, а все рутинные операции — полностью автоматизированы. Более того, внедренная система выявляет конфликты превентивно, на стадии формировании заявки, не позволяя отправлять конфликтные заявки на согласование. При этом система предлагает возможные корректирующие действия, а также позволяет пользователю задать свой вариант устранения конфликта.

Как развивался проект

Подготовка к внедрению IDM-решения началась в 2013 году. За несколько лет в РСХБ был выполнен ряд полноценных пилотных проектов с привлечением фокус-групп, состоявших из представителей бизнес-, IT- и ИБ-подразделений. В проектах было задействовано около 1500 пользователей, при этом Банк сравнивал IDM-решения разных производителей (Oracle, IBM, Microsoft, Avanpost, КУБ и др.).

С началом санкций работы по IDM были временно приостановлены, нужно было выработать стратегию в новых условиях. В 2016 году работы вновь стартовали — на основе продукта Avanpost IDM 5.0. Фаза активного внедрения IDM-решения пришлась на период с мая по август 2016 года, а с сентября (после успешного тестирования предлагаемого IDM-решения в пилотной зоне) было произведено масштабирование на все подразделения Банка в целях подтверждения производительности и отказоустойчивости решения. Успешное тестирование и положительные отзывы подразделений, осуществляющих основную деятельность заказчика, закрепили Avanpost IDM как целевое решение для создания централизованной системы управления доступом в РСХБ.

Дальнейшее развитие системы началось в мае 2017 года и проходило в два этапа. На первом этапе были доработаны, упрощены и стандартизированы процессы управления доступом, построенные в рамках пилотного проекта. Создавались инструменты администрирования процессов (включая автоматизацию), проводились оптимизация и доработка компонентов пользовательского интерфейса и интеграционных решений. Также в продукте были реализованы гибкие настройки исключительных правил обработки кадровых событий и внесено множество других изменений, призванных облегчить эксплуатацию и использование системы в Банке. На втором этапе (с сентября по декабрь 2017 года) проведено масштабирование по количеству управляемых систем и ролям пользователей ИС, а также запущен аудит прав доступа и разработаны отчеты.

Что получил Банк

Упростилась работа пользователей, оформляющих заявки на получение прав доступа и участвующих в их визировании. Здесь стоит отметить не только штатные функции Avanpost IDM, но и доработки, выполненные по требованию заказчика (например, так был кастомизирован и упрощен интерфейс управления доступом для групп работников, позволяющий массово задавать и менять права доступа), а также автоматизацию реагирования на задержки процессов по разным причинам (например, делегирование для заявок, которые должен был обработать сотрудник, находящийся в командировке или отпуске) и, конечно, выявление и предотвращение SOD-конфликтов.

Внедрение Avanpost IDM снизило нагрузку на сотрудников Россельхозбанка, участвующих в процессах создания, согласования и предоставления доступа. Особую роль здесь сыграли: максимальное использование классических функций IDM для автоматизации реагирования на кадровые события, обработка исключений из правил обработки кадровых событий, гибкость описания регламентов процессов в Avanpost IDM, а также большое число готовых и простых новых модулей сопряжения (коннекторов) к управляемым системам.

Читайте также:  Удаленный доступ к локальной сети через интернет

РСХБ были переданы знания и инструментарий, позволяющие самостоятельно сопровождать и развивать IDM-решение. В настоящее время специалисты Банка успешно эксплуатируют IDM-систему, развивают ролевую модель и процессы согласования. Сотрудники, отвечающие за развитие, интегрируют в уже автоматизированный процесс управления доступом новые информационные системы, массово используемые в Банке. А еще этот проект позволил Банку снизить санкционные риски и на практике оценить качество российского ПО. Проекты, подобные внедрению Avanpost IDM, помогают Банку отслеживать состояние и векторы развития ведущих российских системообразующих программных продуктов и вырабатывать сбалансированную техническую политику.

Пример решения: Централизованное управление доступом к информационным ресурсам

Решение предназначено для крупных и средних предприятий с распределенной, разнородной ИT-инфраструктурой при необходимости обеспечения централизованного управления доступом к ИТ-ресурсам на основе корпоративных политик информационной безопасности, а также обеспечения безопасного доступа к ИТ-ресурсам из интернета.

Бизнес цели

  • Снижение затрат на управление доступом и повышение эффективности работы персонала;
  • Повышение уровня информационной безопасности;
  • Упрощение создания и модернизации бизнес-приложений;
  • Расширение бизнеса за счет предоставления доступа к WEB-ресурсам компании через интернет;
  • Унификация бизнес-правил предоставления доступа к разнородным информационным ресурсам компании;
  • Снижение рисков несанкционированного доступа.

Актуальность решения

Для выполнения бизнес задач сотрудники в компании часто должны иметь доступ к большому количеству приложений. При реализации традиционного подхода к обеспечению безопасности сотрудник имеет учетную запись в каждом приложении и вынужден проходить процедуру аутентификации многократно. Ему приходится помнить множество паролей. Это приводит к записи паролей пользователями, заданию «простых» паролей в системах, что понижает общий уровень безопасности.

При этом существует большое количество не связанных каталогов пользователей и политик предоставления доступа, которые управляются независимо, что может привести к неправильным и несвоевременным настройкам.

Описание решения

Каждой автоматизированной системе свойственно наличие следующих компонентов и механизмов или их аналогов.

Механизмы управления и предоставления доступа

  • Аутентификация — процедура проверки подлинности предъявленных пользователем идентификационных данных (имени пользователя, пароля, токена, идентификационной карты, ключа);
  • Авторизация — процедура предоставления пользователю доступа к информационным ресурсам, в соответствии с полномочиями данного пользователя на основании политик предоставления доступа;
  • Политики предоставления доступа — правила описывающие права пользователя на выполнение операций с информационным ресурсом;
  • Каталог пользователей — каталог, содержащий учетную информацию о пользователях автоматизированной системы.

При организации централизованной системы управления доступом решение о предоставлении пользователю запрашиваемого ресурса выносится за рамки приложения, содержащего данный ресурс. Создается единая база авторизации и база учетных записей пользователей (УЗП). При этом решение осуществляется на основании этих данных специальным сервисом авторизации.

Централизованная система управления доступом

Логика работы «ресурсной службы» приложения при этом меняется. Возможны два варианта ее функционирования:

  • Ресурсная служба приложения «отключается» и не участвует в процедуре предоставления доступа. Все запросы пользователей перехватываются специальным компонентом — «контроллером политик», который сам непосредственно защищает ресурс.
  • Происходит интеграции ресурсной службы и контроллера политик. Часть функций при этом перекладывается на контроллер политик, а задачи взаимодействия с пользователем и ресурсами по-прежнему решаются через ресурсную службу.

При использовании обоих вариантов контроллер политик играет роль связующего звена с центральной системой управления доступа.

При запросе доступа к ресурсу он производить аутентификацию, опираясь на единый каталог учетных записей пользователей. После чего направляет запрос на центральный сервис авторизации. Сервис авторизации принимает решение на основе единой базы политик предоставления доступа и связанный с ней каталог УЗП.

Политики в каталоге, как правило, включают в себя списки контроля доступа. Списки контроля доступа содержат данные о ресурсе, к которому ограничивают доступ, УЗП (или группы УЗП) и наборы атрибутов, определяющих для каждой УЗП (группы УЗП) права доступа к ресурсу.

При необходимости более детальной настройки правил доступа могут быть использованы также специальные политики. Возможности таких политик и правила их записи зависят от конкретной платформенной реализации. Как правило, они включают в себя некоторый предопределенный набор правил, основанных на расширенных атрибутах УЗП, а также встроенный язык для описания новых правил.

После того, как сервис авторизации определит права доступа пользователя к запрашиваемому ресурсу, данное решение передается обратно контроллеру политик, который на основе полученных данных ограничивает доступ пользователя к ресурсу.

Наличие централизованной системы управления доступом позволяет удешевить и упростить ввод в эксплуатацию новых программных компонентов. Разрабатываемые компоненты должны лишь удовлетворять требованиям интеграции, которая производится на основе открытых стандартных протоколов. Таким образом, новые компоненты освобождаются от необходимости разработки собственных модулей обеспечения безопасности.

К самой системе при этом предъявляются требования открытости и масштабируемости архитектуры, поскольку она является одной из наиболее критичных систем предприятия. Поэтому предполагается строить ее на базе открытых стандартов и протоколов. Организация модели доступа на базе предлагаемой архитектуры позволяет поддерживать использование современных методов аутентификации и авторизации (X.509 Certificates, NTLM, Kerberos, TAI, Basic Authentication и др.).

В настоящее время практически все автоматизированные системы строятся на основе Web-сервисов. Описываемое решение имеет встроенные механизмы интеграции с приложениями, построенными на базе Web-технологий.

Реализация решения на базе линейки продуктов IBM Tivoli

Для реализации механизмов по управлению доступом используется IBM Tivoli Access Manager (ITAM). Данный продукт реализует единый каталог пользователей и базу политик предоставления доступа.

Политики доступа в Tivoli Access Manager реализуется с помощью следующих механизмов:

  • списков контроля доступа. Списки контроля доступа реализуют разграничение доступа к ресурсу на уровне прав пользователей и групп пользователей;
  • политик защищаемого объекта. Разграничение прав доступа на уровне свойств объекта и параметров доступа (таких как время доступа, IP-адрес компьютера с которого осуществляется доступ и т.п.)
  • правила авторизации. Правила авторизацию позволяют настроить специальные условия доступа, основанные на дополнительных атрибутах. Правила авторизации реализуются в системе при помощи XSLT преобразований (при этом атрибуты поступают на вход правила в виде специального в формате XML).

В состав Tivoli Access Manager входит набор готовых контроллеров политик для типовых защищаемых ресурсов (серверов Web-приложений, UNIX-операционных систем, приложений .NET и др.). Данные компоненты представляют собой некоторую надстройку («плагин») над защищаемой системой.

Защита Web приложений возможна также с использованием специального компонента WebSeal, который представляет собой реверсивный proxy-сервер и реализует защиту доступа к данным на уровне фильтрации запросов HTTP.

Запрос авторизации также может передаваться при помощи API функций, реализованных в Tivoli Access Manager в виде Java классов и библиотек C. Данный механизм позволяет интегрировать в единую систему предоставления доступа приложения сторонних производителей и упрощает разработку новых приложений.

В случае наличия автоматизированных систем, модификации которых не представляется возможной, централизация может быть осуществлена при помощи создания мета-каталога пользователей. То есть каталога, который содержит список учетных карточек пользователя, объединяющих информацию обо всех учетных записях пользователя в различных автоматизированных системах.

Данных механизм реализуется при помощи продукта IBM Tivoli Identity Manager. IBM Tivoli Identity Manager позволяет посредством специальных программных адаптеров централизованно осуществлять наполнение каталогов автоматизированных систем. Логика работы ресурсных служб самих систем при этом не меняется.

Совместное использование продуктов Tivoli Access Manager и Tivoli Identity Manager позволяет построить единую систему аутентификации и авторизации пользователей (на базе продукта Tivoli Access Manager) и организовать централизованное управление всеми автоматизированными системами (на базе продукта Tivoli Identity Manager). При этом Tivoli Access Manager является управляемой системой по отношению к Tivoli Identity Manager наравне с остальными автоматизированными системами предприятия.

Ссылка на основную публикацию
Фум лента в стоматологии фото
Автор: G. Freedman Перевод: Александр Зыбайло Автор: G. Freedman Перевод: Александр Зыбайло Ограничение количества цемента для фиксации и использование определенной...
Усики для автомобильной антенны
Убираясь в бардачке я наткнулся на ремкомплект антенных усиков — лежит наверно уже полгода, всё наклеить не могу, то забываю,...
Усиление сигнала интернета на даче своими руками
С наступление дачного сезона, я озадачился установкой хорошего скоростного интернет на даче, у нас голосовая связь работает без проблем, а...
Функции жесткого диска в компьютере
Жесткий диск, он же винчестер, является основным местом, где хранится вся информация. В отличие от оперативной памяти, он энергетически независим,...
Adblock detector