О принципах гарантированной защиты информации в сервис- ориентированных системах ЗАО «ИВК», 2008 г. Лекшин Олег Сергеевич, ведущий инженер – специалист по комплексному ОБИ
Безопасность информационной системы идентификация клиента (пользователя, либо агента) в системе, проверка прав доступа к защищаемым данным в рамках общезначимого контекста безопасности, шифрование трафика между клиентами и сервисами ИС, обеспечение целостности данных.
Защита информации в WEB- сервисах: спецификации GXA (Global XML Web Services Architecture), серия WS-*: –WS-Security – описывает, каким образом обеспечить конфиденциальность, целостность и аутентичность сообщений транспортного для Web-сервисов протокола SOAP; –WS-Trust – описывает процесс установления доверительных отношений между различными доменами безопасности; –WS-Policy – определяет, каким образом описывать в формате SOAP особенности сервиса в виде набора политик, в том числе политик безопасности. Стандарты, разработанные OASIS: –Security Assertion Markup Language (SAML) – описывает процесс обмена параметрами аутентификации, обеспечивает нормативную базу для средств однократной регистрации (Single Sign-On, SSO); –eXtensible Access Control Markup Language (XACML) – определяет формат описания политики безопасности, включающей набор правил разграничения доступа к информационным объектам.
Перечисленные стандарты решают две базовые задачи: 1.Создание доверенной среды обмена данными, обеспечивающей гарантию конфиденциальности, целостности и аутентичности передаваемой информации. 2.Распространение единого контекста безопасности в слабо связанной вычислительной среде на базе однократной регистрации клиента (пользователя, либо агента) в системе.
Разграничение доступа к информационным ресурсам Среда исполнения Приложение Р1Р1Р2Р2Р3Р3 П1П1 П2П2 О1 О2 О3 О4 Правила РД Бизнес-логика Среда доступа к данным Р1Р1Р2Р2Р3Р3 П1П1 П2П2 Правила РД
Наследование прав доступа от пользователя к процессу Среда исполнения Приложение (процесс) Р1Р1 О1 П1П1 П2П2 Правила РД С
Защищённая корпоративная сервисная шина (ESB) 1.Реализация системы управления правилами разграничения доступа (ПРД), охватывающей все базовые средства доступа к первичным информационным ресурсам (файловая система, СУБД и т.п.) и обеспечивающей доступ из единого центра управления ИБ ИС к специфическим параметрам безопасности средств доступа этих первичных источников. Другими словами, необходимо разработать и реализовать унифицированную расширяемую модель управления ПРД. Кроме того, необходимо обеспечить синхронизацию учётных данных пользователей ("наследование" уровня доступа) в собственно ESB и подключённых к ней системах. 2.Обеспечение выполнения любого процесса доступа к данным в контексте безопасности, связанным с пользователем, инициировавшим этот процесс, независимо от того, является ли он локальным, или удалённым по отношению к самому пользователю ("виртуализация" пользователя).
Решения компании «ИВК» «ИВК ЮПИТЕР»«ИВК ЮПИТЕР Identity Manager» Авторизация (пароль, e-Token) Гарантированное доведение информации Унифицированная политика безопасности Контроль вычислительного процесса Однократная регистрация (SSO) на базе системы авторизации «ИВК ЮПИТЕР» Интеграция с приложениями (исполняемые, WEB) Управление внешними системами РД (СУБД – Oracle, LDAP, AD) Защищённая корпоративная сервисная шина - ESB Защищённая IT-среда Сервер безопасности прикладного уровня