Учёт и централизованное управление средствами аутентификации и электронной подписи, защищёнными носителями информации, средствами безопасной удалённой работы, аппаратными OTP/U2F-токенами, программными аутентификаторами типа PUSH/OTP/Messaging (SMS).
Реализует учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, защищёнными носителями информации (ЗНИ) JaCarta SF/ГОСТ и средствами безопасной удалённой работы Aladdin LiveOffice, аппаратными и программными OTP/U2F-токенами, программными аутентификаторами типа PUSH/OTP/Messaging (SMS)
Предоставляет дополнительные функции для работы с ЗНИ и средствами безопасной удалённой работы
Работа с защищёнными носителями информации:
Работа со средствами безопасной удалённой работы:
Сервис усиленной аутентификации:
В состав системы входит производительный сервер усиленной аутентификации (2ФА) JaCarta Authentication Server (JAS) для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей какой-то части своих сотрудников.
Взаимодействие с популярными и распространёнными удостоверяющими центрами (УЦ), такими, как Microsoft CA, Dogtag и др. Встроенный офлайн-коннектор, обеспечивает работу JMS с любыми удостоверяющими центрами, в том числе аттестованными или расположенными в изолированных контурах, не нарушая предъявляемых к данным УЦ требований к информационной безопасности.
Сервис самообслуживания пользователей позволяет сотруднику самостоятельно совершать операции с ЭК, ЗНИ и средством обеспечения безопасной дистанционной работы Aladdin LiveOffice, осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование, смену PIN-кода, замену и отзыв без обращения в ИТ- или ИБ-отделы.
Пользователи также имеют возможность выполнять специфические для ЗНИ и Aladdin LiveOffice операции, такие как монтирование скрытых разделов и запись и обновление ISO-образов и микропрограммного обеспечения (МПО) для ЗНИ, регистрация средств вычислительной техники (СВТ) и перезапись ОС, пользовательских данных и загрузчика для Aladdin LiveOffice.
Высокопроизводительный сервер, обеспечивающий дополнительный фактор аутентификации, JaCarta Authentication Server (JAS), входящий в состав JMS, обеспечивает организацию дополнительной защиты с применением аутентификации по одноразовым паролям (OTP/PUSH/SMS), а также по стандарту U2F.
В процессе разработки JMS 4LX большое внимание было уделено упрощению процесса миграции и обеспечению возможности продуктивной работы решения на время переходного периода в смешанной среде Linux/Windows. Для этого разработаны:
Система JMS 4LX спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость. Более того, реализованные технологии практически исключают возможность отказа в обслуживании клиентского запроса.
Поддерживаются кластерные технологии (NLB) и распространённые аппаратные балансировщики нагрузки. Реализована возможность резервного копирования настроек, базы данных системы, закрытых ключей и сертификатов.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
JMS 4LX проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
В состав JMS 4LX входит система журналирования, позволяющая фиксировать все события, связанные с управлением администраторами и эксплуатацией пользователями ЭК/ЗНИ/Aladdin LiveOffice, программных и аппаратные OTP-аутентификаторов и объектов на них. Система ведёт служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
В части ЗНИ система автоматически при каждой синхронизации собирает с подключённых ЗНИ журналы их использования, недоступные пользователю ЗНИ. В журналах содержится информация обо всех фактах использования или попыток использования ЗНИ – подключения, попыток монтирования (удачных/неудачных) и т.д.
Удобная настраиваемая подсистема экспорта журналов позволяет в любой момент получить информацию обо всех событиях в системе в нужном разрезе.
Все события, связанные с управлением ЭК/ЗНИ/Aladdin LiveOffice/программных и аппаратных OTP-аутентификаторов и эксплуатацией ЗНИ, а также с аутентификацией по OTP-аутентификаторам, могут быть выгружены на сервер Syslog, что означает возможность интеграции платформы с любыми стандартными SIEM-системами.
В JMS 4LX реализована настраиваемая система уведомлений посредством отправки сообщений на e-mail, которая помогает администраторам отслеживать важные для них события: подключение нового токена/ЗНИ/Aladdin LiveOffice, окончание срока действия сертификатов на токене и т.д.
JaCarta Management System 4LX для среды функционирования Windows представляет собой настоящее отечественное ПО.
Система JMS 4LX создана в России, учитывает специфику нашей страны и включена в Единый реестр отечественного ПО № 11249.
Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, организовать учёт СКЗИ в соответствии с требованиями ФСБ России.
Системные требования |
» Сервер JMS
» Сервер СУБД
» JMS Web Admin
» JMS Web Agent
» Web-клиент из состава компонентов «Консоль управления JMS» и «JMS Web Agent»
» Клиент JMS, Консоль управления JMS («толстые клиенты»)
|
||||||||||||
Модели поддерживаемых электронных ключей и других совместимых средств обеспечения информационной безопасности |
Электронные ключи
Защищенные носители информации
Средства обеспечения безопасной дистанционной работы
|
||||||||||||
Поддерживаемые УЦ |
|
||||||||||||
Ресурсные системы |
|
||||||||||||
Масштабируемость и отказоустойчивость |
|
||||||||||||
Территориальные ограничения использования продукта | Нет (ограничения есть только при использовании сертифицированных СКЗИ) | ||||||||||||
Необходимость наличия лицензий на распространение JMS | Нет (лицензия ФСБ России на распространение СКЗИ требуется при продаже носителей с поддержкой российской криптографии, например, JaCarta-2 ГОСТ) | ||||||||||||
Локализация (поддерживаемые языки) |
|
||||||||||||
Поддерживаемые СКЗИ (функция "Учёт СКЗИ") | В JMS реализована поддержка ключевых носителей, являющихся сертифицированными СКЗИ, таких, как JaCarta-2 ГОСТ, а также сертифицированных программных СКЗИ, например, КриптоПро и ViPNet CSP. Благодаря встроенным возможностям определения новых типов СКЗИ JMS позволяет вести учёт любых аппаратных и программных СКЗИ в соответствии с нормативными правилами регулятора (ФСБ России). | ||||||||||||
Возможность добавления других моделей электронных ключей | Есть (по запросу) | ||||||||||||
Единый реестр отечественного ПО | JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11249) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) | ||||||||||||
Масштабирование | От 100 до 1 000 000 устройств (использование JMS для работы менее чем со 100 электронными ключами и средствами информационной безопасности нецелесообразно) |
Сервер JMS — ядро JMS, осуществляющее централизованное управление учётными записями пользователей, токенами, политиками и т.д. Может быть установлен как единичный сервер или развёрнут как кластер. Поддерживается виртуализация и резервное копирование баз данных и настроек системы.
База данных JMS обеспечивает централизованное хранение информации об учётных записях пользователей JMS, токенах, объектах, выпущенных на токенах, политиках, настройках JMS и т.д.
JMS Web Admin работает как Web-сервис и позволяет регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в JMS Web Admin определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает одинаково на ОС MS Windows и ОС семейства Linux.
Консоль управления JMS — консоль администратора (толстый клиент), позволяющая регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в консоли управления определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает только на ОС MS Windows.
JMS WebAgent — сервис, работающий на стороне пользователя и на стороне администратора. Сервис реализует личный Web-кабинет пользователя на локальной рабочей станции, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
Помимо личного Web-кабинет пользователя, сервис позволяет взаимодействовать и ЭК, ЗНИ и пр. из страницы браузера JMS Web Admin и Личного кабинета пользователя.
Кроссплатформенный клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с ЭК, ЗНИ, СДР в рамках сервиса самообслуживания (выпуск, синхронизация, разблокировка, отзыв). Помимо этого, для ЗНИ позволяет монтировать\демонтировать скрытые разделы, выполнять сбор событий аудита, выполнять обновление микропрограммного обеспечения устройства и другие операции.
Клиент JMS — клиентский агент JMS (толстый клиент) на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
*Только для JMS 4LX версии 4.0Таблица 1 – Требования к аппаратному обеспечению JMS
Прогнозируемая нагрузка (число пользователей) |
1000* - 10000** |
Требования к серверу |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс — SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS Примечания: Postgres - max_connections = 500 |
Требования приведены с учетом обработки сервером самых сложных и ресурсоемких сценариев со следующим набором операций:
* Сервер обработает тяжелые сценарии 1000 пользователей за 1 минуту.
** Сервер обработает тяжелые сценарии 10000 пользователей за 10 минут.
Подавляющее большинство операций в процессе выпуска сертификатов выполняются в фоновом режиме без участия пользователя. Поэтому время 10-15 минут выглядит (подтверждено практикой) вполне адекватным.
Если для защиты информации в базе данных используется наложенное средство "Крипто БД", то производительность JMS уменьшается на 15 % в сценариях с резервным копированием ключевых пар сертификатов и перевыпуска с генерацией новых ключевых пар.
Коэффициент масштабирования ~ 1,7 при увеличении количества ядер узла в 2 раза. При этом удельная загрузка отдельного ядра уменьшается, но это не обеспечивает комфортную работу в Консоли управления JMS (WebAdmin). При нагрузке процессора 55-65% наблюдаются значительные задержки при загрузке страниц в WebAdmin. Поэтому в одиночной инсталляции не рекомендуется использовать более 8 ядер и предлагается использовать кластерную конфигурацию.
Таблица 2 – Требования к аппаратному обеспечению кластера JMS
Прогнозируемая нагрузка (число пользователей) |
8000 - 15000 |
15000 - 25000 |
25000 - 40000 |
Число узлов в кластере |
2 |
2 |
3 |
Требования к серверу* – узлу кластера |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс — SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс — SATA/SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс — SATA/SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 6 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
Процессор: 10-12 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 8 ГБ, Рекомендуется – 10 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
Если в качестве сервера используется виртуальная машина, то её характеристики задаются так, чтобы производительность была равной или большей, чем указанная в таблице.