О принципах гарантированной защиты информации в сервис- ориентированных системах ЗАО «ИВК», 2008 г. Лекшин Олег Сергеевич, ведущий инженер – специалист.

Презентация:



Advertisements
Похожие презентации
Организация защищенного электронного документооборота на базе middleware Лекшин Олег Сергеевич ведущий инженер ЗАО «ИВК»
Advertisements

Единая система аутентификации Обзор решения Москва, 2012г.
КОНЦЕПЦИЯ ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ: СОДС МАРШ!
«Информационная безопасность вычислительных сетей. Модель взаимодействия открытых систем OSI / ISO »
Технические спецификации и программные комплексы E2EDM Белов С.В., Сухоносов С.В., Булгакова К.В ЦОД ВНИИГМИ-МЦД,2006.
© 2005, Aladdin Безопасность СУБД Oracle ВВЕДЕНИЕ.
SOAP Содержание лекции Протокол SOAP. Структура SOAP-сообщения: конверт, заголовок, тело сообщения. Стандарты WS-Addressing и WS-Security. SOAP-Fault.
Алексей Исупов, Руководитель проекта, ЗАО ТД Перекресток.
Kraftway Security Shell 2012 Шумилов Максим. 2 Модульная архитектура Минимальные изменения с коде BIOS Модули безопасности реализованы в виде Plug-In.
Различия и особенности распространенных протоколов. Принципы работы протоколов разных уровней. Предоставление сетевых услуг. Борисов В.А. КАСК – филиал.
Единая система идентификации и аутентификации (ЕСИА) – новый вид услуг инфраструктуры электронного правительства Круглый стол: «Госуслуги: аспекты информационной.
Инструментальная система разработки распределенных приложений «SiTex»
Организация хранилища единой коллекции цифровых образовательных ресурсов с использованием технологии «ЭЛАД» В.Ю. Лукин.
ИНФОРМАЦИОННАЯ ЗАЩИТА СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА.
Биометрические системы персональная идентификация.
Симпозиум 2008 Сергей Шутов, ДИМАС Борис Егоров, Интерсистемс Практика использования Zen и Прототип-6.
WEB- ТЕХНОЛОГИИ Лекция 6. Понятие Web- сервисов 1 Интерфейс в глобальную сеть для некоторого абстрактного программного обеспечения, этот интерфейс позволяет.
1 Понятие о необходимости встроенных средств защиты на уровне ОС Подготовила: Студентка гр.И-411 Сартакова Е.Л.
Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
Лекция 6 Безопасность сети. Средства обеспечения безопасности сети.
Транксрипт:

О принципах гарантированной защиты информации в сервис- ориентированных системах ЗАО «ИВК», 2008 г. Лекшин Олег Сергеевич, ведущий инженер – специалист по комплексному ОБИ

Безопасность информационной системы идентификация клиента (пользователя, либо агента) в системе, проверка прав доступа к защищаемым данным в рамках общезначимого контекста безопасности, шифрование трафика между клиентами и сервисами ИС, обеспечение целостности данных.

Защита информации в WEB- сервисах: спецификации GXA (Global XML Web Services Architecture), серия WS-*: –WS-Security – описывает, каким образом обеспечить конфиденциальность, целостность и аутентичность сообщений транспортного для Web-сервисов протокола SOAP; –WS-Trust – описывает процесс установления доверительных отношений между различными доменами безопасности; –WS-Policy – определяет, каким образом описывать в формате SOAP особенности сервиса в виде набора политик, в том числе политик безопасности. Стандарты, разработанные OASIS: –Security Assertion Markup Language (SAML) – описывает процесс обмена параметрами аутентификации, обеспечивает нормативную базу для средств однократной регистрации (Single Sign-On, SSO); –eXtensible Access Control Markup Language (XACML) – определяет формат описания политики безопасности, включающей набор правил разграничения доступа к информационным объектам.

Перечисленные стандарты решают две базовые задачи: 1.Создание доверенной среды обмена данными, обеспечивающей гарантию конфиденциальности, целостности и аутентичности передаваемой информации. 2.Распространение единого контекста безопасности в слабо связанной вычислительной среде на базе однократной регистрации клиента (пользователя, либо агента) в системе.

Разграничение доступа к информационным ресурсам Среда исполнения Приложение Р1Р1Р2Р2Р3Р3 П1П1 П2П2 О1 О2 О3 О4 Правила РД Бизнес-логика Среда доступа к данным Р1Р1Р2Р2Р3Р3 П1П1 П2П2 Правила РД

Наследование прав доступа от пользователя к процессу Среда исполнения Приложение (процесс) Р1Р1 О1 П1П1 П2П2 Правила РД С

Защищённая корпоративная сервисная шина (ESB) 1.Реализация системы управления правилами разграничения доступа (ПРД), охватывающей все базовые средства доступа к первичным информационным ресурсам (файловая система, СУБД и т.п.) и обеспечивающей доступ из единого центра управления ИБ ИС к специфическим параметрам безопасности средств доступа этих первичных источников. Другими словами, необходимо разработать и реализовать унифицированную расширяемую модель управления ПРД. Кроме того, необходимо обеспечить синхронизацию учётных данных пользователей ("наследование" уровня доступа) в собственно ESB и подключённых к ней системах. 2.Обеспечение выполнения любого процесса доступа к данным в контексте безопасности, связанным с пользователем, инициировавшим этот процесс, независимо от того, является ли он локальным, или удалённым по отношению к самому пользователю ("виртуализация" пользователя).

Решения компании «ИВК» «ИВК ЮПИТЕР»«ИВК ЮПИТЕР Identity Manager» Авторизация (пароль, e-Token) Гарантированное доведение информации Унифицированная политика безопасности Контроль вычислительного процесса Однократная регистрация (SSO) на базе системы авторизации «ИВК ЮПИТЕР» Интеграция с приложениями (исполняемые, WEB) Управление внешними системами РД (СУБД – Oracle, LDAP, AD) Защищённая корпоративная сервисная шина - ESB Защищённая IT-среда Сервер безопасности прикладного уровня