JaCarta Management System 4LX для Linux
Корпоративная система централизованного управления для Linux
- Широкий набор функций для учета и управления
- Возможность эффективно работать в среде Linuх
- Автоматизация исполнения политик ИБ
- Реализация сервиса усиленной (2FA) аутентификации
- Высокая производительность, масштабируемость и отказоустойчивость
- В состав системы входит производительный сервер усиленной аутентификации (2ФА) JaCarta Authentication Server (JAS) на платформе Linux
Описание
Учёт и централизованное управление средствами аутентификации и электронной подписи, защищёнными носителями информации, средствами безопасной удалённой работы, аппаратными OTP/U2F-токенами, программными аутентификаторами типа PUSH/OTP/Messaging (SMS).
Реализует учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, защищёнными носителями информации (ЗНИ) JaCarta SF/ГОСТ, аппаратными и программными OTP/U2F-токенами, программными аутентификаторами типа PUSH/OTP/Messaging (SMS).
Предоставляет дополнительные функции для работы с ЗНИ.
Работа с защищёнными носителями информации:
Усиленная аутентификация пользователей по одноразовым паролям (OTP):
- аутентификация и авторизация пользователей в процессе монтирования скрытых разделов
- централизованная запись ISO-образов на предназначенные для этого открытые и скрытые разделы
Сервис усиленной аутентификации:
В состав системы входит производительный сервер усиленной аутентификации (2ФА) JaCarta Authentication Server (JAS) на платформе Linux для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей какой-то части своих сотрудников.
Широкий набор функций для учета и управления
- Учёт аппаратных средств аутентификации и электронной подписи – электронных ключей (ЭК), а также защищённых носителей информации, таких как JaCarta SF/ГОСТ, используемых сотрудниками. Аналогичным образом учитываются аппаратные OTP/U2F-токены, Messaging (SMS), а также программные OTP/PUSH-аутентификаторы, реализованные с использованием разработанного "Аладдин Р.Д." мобильного приложения для двухфакторной аутентификации Aladdin 2FA или сторонних приложений Google Authenticator, Яндекс.Ключ и им подобных.
- Автоматизация учёта электронных ключей JaCarta, в том числе сертифицированных ФСБ России как СКЗИ или обладающих несколькими функциями. Учитываются владелец, номер, модель электронного ключа, а также объекты на нём и рабочие станции, использующие токены.
- Управление на всех этапах жизненного цикла ЭК, ЗНИ, включая их выдачу, перевыпуск и отзыв; и всеми связанными с ними объектами (сертификатами, ключами и др.).
- Взятие под управление имеющихся ЭК, ЗНИ, в том числе содержащих сертификаты, выпущенные сторонними организациями или выпущенные до внедрения JMS, с автоматическим включением их в работу.
Гибкие возможности интеграции c УЦ, ресурсными системами и средствами обеспечения ИБ
Взаимодействие с популярными и распространёнными удостоверяющими центрами (УЦ), такими, как Microsoft CA (через компонент MSCA Proxy), Dogtag и др. Встроенный офлайн-коннектор, обеспечивает работу JMS с любыми удостоверяющими центрами, в том числе аттестованными или расположенными в изолированных контурах, не нарушая предъявляемых к данным УЦ требований к информационной безопасности.
- Интеграция с ресурсными системами – источниками информации о пользователях и рабочих станциях, в качестве которых может выступать не только FreeIPA, Samba AD и ALD Pro, но и Microsoft AD.
- Работа со всеми ЭК линейки JaCarta, ЗНИ JaCarta SF/ГОСТ.
Автоматизация исполнения политик безопасности
С помощью реализованного в JMS 4LX механизма профилей платформа связывает между собой такие сущности, как пользователь, ЭК, ЗНИ, программные и аппаратные OTP-аутентификаторы или объект на ЭК/ЗНИ.
Профиль представляет собой набор правил (политик), применяемых к перечисленным сущностям. Профиль может быть применён к контейнеру (OU) ресурсной системы, группе или отдельному пользователю. В профиле, например, можно указать параметры сертификатов, выпускаемых на ЭК пользователей из конкретной OU, структуру ЗНИ (наличие и размеры открытых/скрытых разделов) и т.д.
Включение нового пользователя в указанную OU вызовет автоматический выпуск для него, например, указанного сертификата и запись его на ЭК в процессе синхронизации (применения политик). В случае с ЗНИ – запись указанного ISO-образа на соответствующий раздел ЗНИ. Исключение пользователя из OU вызовет (при соответствующей настройке) автоматический отзыв его сертификата и удаление последнего с ЭК пользователя. Это же справедливо и для ISO-образа.
Удобный сервис самообслуживания пользователей
Сервис самообслуживания пользователей позволяет сотруднику самостоятельно совершать операции с ЭК, ЗНИ, осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование, смену PIN-кода, замену и отзыв без обращения в ИТ- или ИБ-отделы.
Пользователи также имеют возможность выполнять специфические для ЗНИ операции, такие как монтирование скрытых разделов и запись и обновление ISO-образов и микропрограммного обеспечения (МПО) для ЗНИ.
Сервис усиленной (2FA) аутентификации
Высокопроизводительный сервер, обеспечивающий дополнительный фактор аутентификации, JaCarta Authentication Server (JAS), входящий в состав JMS, обеспечивает организацию дополнительной защиты с применением аутентификации по одноразовым паролям (OTP/PUSH/SMS), а также по стандарту U2F.
Простая процедура миграции с предыдущих версий на Windows. Возможность эффективно работать в среде Linux/Windows
В процессе разработки JMS 4LX большое внимание было уделено упрощению процесса миграции и обеспечению возможности продуктивной работы решения на время переходного периода в смешанной среде Linux/Windows. Для этого разработаны:
- утилита миграции для переноса информации с MicrosoftSQL на PostgreSQL либо Jatoba;
- специальные утилиты-прокси для обеспечения возможности прозрачной работы со службой каталогов Microsoft AD и УЦ Microsoft CA;
- кроссплатформенное клиентское ПО, единообразно работающее как в среде Linux, так и в среде Windows.
Неограниченные производительность, масштабируемость и отказоустойчивость
Система JMS 4LX спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость. Более того, реализованные технологии практически исключают возможность отказа в обслуживании клиентского запроса.
Поддерживаются кластерные технологии (NLB) и распространённые аппаратные балансировщики нагрузки. Реализована возможность резервного копирования настроек, базы данных системы, закрытых ключей и сертификатов.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
JMS 4LX проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
Автоматизированное отслеживание действий пользователей и администраторов
В состав JMS 4LX входит система журналирования, позволяющая фиксировать все события, связанные с управлением администраторами и эксплуатацией пользователями ЭК/ЗНИ, программных и аппаратные OTP-аутентификаторов и объектов на них. Система ведёт служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
В части ЗНИ система автоматически при каждой синхронизации собирает с подключённых ЗНИ журналы их использования, недоступные пользователю ЗНИ. В журналах содержится информация обо всех фактах использования или попыток использования ЗНИ – подключения, попыток монтирования (удачных/неудачных) и т.д.
Удобная настраиваемая подсистема экспорта журналов позволяет в любой момент получить информацию обо всех событиях в системе в нужном разрезе.
Все события, связанные с управлением ЭК/ЗНИ/программных и аппаратных OTP-аутентификаторов и эксплуатацией ЗНИ, а также с аутентификацией по OTP-аутентификаторам, могут быть выгружены на сервер Syslog, что означает возможность интеграции платформы с любыми стандартными SIEM-системами.
В JMS 4LX реализована настраиваемая система уведомлений посредством отправки сообщений на e-mail, которая помогает администраторам отслеживать важные для них события: подключение нового токена/ЗНИ, окончание срока действия сертификатов на токене и т.д.
Архитектура JMS 4LX
Сервер JMS
Сервер JMS — ядро JMS, осуществляющее централизованное управление учётными записями пользователей, токенами, политиками и т.д. Может быть установлен как единичный сервер или развёрнут как кластер. Поддерживается виртуализация и резервное копирование баз данных и настроек системы.
База данных JMS
База данных JMS обеспечивает централизованное хранение информации об учётных записях пользователей JMS, токенах, объектах, выпущенных на токенах, политиках, настройках JMS и т.д.
JMS Web Admin
JMS Web Admin работает как Web-сервис и позволяет регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в JMS Web Admin определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает одинаково на ОС MS Windows и ОС семейства Linux.
Консоль управления JMS
Консоль управления JMS — консоль администратора (толстый клиент), позволяющая регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в консоли управления определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает только на ОС MS Windows.
JMS WebAgent
JMS WebAgent — сервис, работающий на стороне пользователя и на стороне администратора. Сервис реализует личный Web-кабинет пользователя на локальной рабочей станции, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
Помимо личного Web-кабинет пользователя, сервис позволяет взаимодействовать и ЭК, ЗНИ и пр. из страницы браузера JMS Web Admin и Личного кабинета пользователя.
JMS WebAgent Tray
Кроссплатформенный клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с ЭК, ЗНИ в рамках сервиса самообслуживания (выпуск, синхронизация, разблокировка, отзыв). Помимо этого, для ЗНИ позволяет монтировать\демонтировать скрытые разделы, выполнять сбор событий аудита, выполнять обновление микропрограммного обеспечения устройства и другие операции.
Клиент JMS*
Клиент JMS — клиентский агент JMS (толстый клиент) на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
*Только для JMS 4LX версии 4.0Сертификаты
JMS - Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux создана в России, соответствует требованиям регуляторов, включена в Единый реестр отечественного ПО (№ 11260) и рекомендуется к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО).
Сертификат ФСТЭК России № 4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать её для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.
Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, организовать учёт СКЗИ в соответствии с требованиями ФСБ России.
Совместимость
| Класс ПО/ПАК | Вендор | Продукт | Сертификат совместимости |
|---|---|---|---|
| Операционные системы | ООО "РусБИТех-Астра" | Astra Linux SE 1.7 Смоленск | сертификат |
| Astra Linux SE 1.6 Смоленск | |||
| Astra Linux CE 2.12 Орел | |||
| ООО "Базальт СПО" | Альт 8 СП | сертификат | |
| ООО "РЕД СОФТ" | РЕД ОС 7.2 МУРОМ | ||
| РЕД ОС 7.3 МУРОМ | сертификат | ||
| СУБД | ООО "ППГ" | Postgres Pro | сертификат |
| ООО "Газинформсервис" | Jatoba | сертификат | |
| Ресурсные системы (Каталоги) | ООО "РусБИТех-Астра" | ALD Pro | сертификат |
| ООО "РЕД СОФТ" | РЕД АДМ | сертификат | |
| Ключевые носители | Компания "Актив" | Линейка КН Рутокен | |
| Криптопровайдеры | ООО "КРИПТО-ПРО" | КриптоПро CSP 3.6 | |
| КриптоПро CSP 3.9 | |||
| КриптоПро CSP 4.0 | |||
| КриптоПро CSP 5.0 | |||
| Удостоверяющие Центры | Удостоверяющие Центры* | ООО "КРИПТО-ПРО" | |
| ОАО "ИнфоТеКС" | |||
| ЗАО "Сигнал-Ком" | |||
| Межсетевые экраны, VPN-концентраторы etc | ООО "Юзергейт" | Линейка МЭ UserGate | |
| ООО "КРИПТО-ПРО" | VPN КриптоПро Ngate | ||
| ООО "НТБ" | Solar SafeConnect | сертификат | |
| Solar SafeInspect | сертификат | ||
| Средства виртуализации | ООО "РЕД СОФТ" | РЕД Виртуализация | |
| СЭД (Система электронного документооборота) | ООО "Удостоверяющий центр ГАЗИНФОРМСЕРВИС" | Directum RX |
* С использованием офлайн-адаптера
Основные функции JMS 4LX
- Поэкземплярный учет и регистрация аппаратных средств аутентификации и электронной подписи, а также защищенных носителей информации JaCarta SF/ГОСТ (средство контроля отчуждения (переноса) информации со съёмных машинных носителей информации, защищённый носитель информации (ЗНИ)), используемых сотрудниками
- Автоматизация учёта всех электронных ключей (ЭК), ЗНИ в том числе сертифицированных СКЗИ. Учёт владельца, номера, модели и срока службы электронного ключа, а также объектов на нем и рабочих станций, использующих этот носитель
- Регистрация новых аппаратных средств аутентификации и электронной подписи в пакетном режиме с использованием загружаемых в программный комплекс информационных файлов, полученных от поставщика аппаратных средств аутентификации и электронной подписи
- Возможность добавить комментарий в соответствующее дополнительное поле в свойствах электронного ключа
- Управление всем жизненным циклом электронных ключей, ЗНИ, включая выдачу, перевыпуск и отзыв ЭК, ЗНИ, и всех связанных с ними объектов (сертификатов, ключей, меток модулей доверенной загрузки и др.)
- Взятие под управление имеющихся ЭК, ЗНИ, (в том числе, содержащих сертификаты, выпущенные сторонними организациями), выпущенных ранее (при этом все ранее выпущенные объекты сохраняются на ЭК, ЗНИ) с автоматическим включением в работу
- Централизованное управление политиками ПИН-кодов в отношении ЭК, ЗНИ
- Формирование и вывод на печать актов и заявок на выдачу электронных ключей, ЗНИ, и сертификатов, а также значимых полей выпущенных сертификатов с отметками о выдаче и получении, что позволяет автоматизировать документооборот, связанный с жизненным циклом ЭК, ЗНИ
- Разблокировка ЭК пользователем в ручном («запрос-ответ») или автоматическом режиме
- Автоматизация процессов выдачи электронных ключей сотруднику, персонализации электронных ключей, записи ключевой информации и аутентификационных данных в память электронных ключей
- В случае изменения политик безопасности автоматическое применение всех выполненных обновлений к содержимому электронных ключей без необходимости перевыпуска электронных ключей пользователей вручную. После применения изменённой политики автоматически перевыпускаются сертификаты на электронные ключи, подпадающие под эту изменённую политику
- В случае изменения личных данных пользователей автоматический запрос на выпуск новых сертификатов с изменившимися личными данными и запись их на электронные ключи, без необходимости перевыпуска электронных ключей пользователей вручную
- Автоматическое управление профилями учётных записей SecurLogon (логин, пароль) на электронном ключе
- Автоматическое удаление пользователей, удаленных из ресурсных систем
-
Автоматизация процессов за счет выполнения планов обслуживания:
- Работа планов обслуживания на ресурсных системах с большим количеством OU в домене Active Directory
- Постановка в очередь однотипных планов обслуживания с возможностью указания приоритета
- Запуск планов обслуживания с фильтрацией по группам безопасности AD и глобальным группам JMS
- Запуск плана обслуживания с фильтрацией по задачам
-
Управление всем жизненным циклом машинных сертификатов, включая выдачу, перевыпуск и отзыв
- В хранилище сертификатов Windows
- В хранилище WPA Linux
- Взятие под управление имеющихся машинных сертификатов, выпущенных ранее
- Поддержка кастомных атрибутов рабочих станций
-
Гибкая ролевая модель безопасности c предустановленными ролями и возможностью создания собственных:
- Стандартные роли системы (Пользователь, Оператор, Аудитор, Администратор ИБ, Запуск плана обслуживания), каждая из которых включает определённый набор прав
- Разграничение области действия роли в пределах некоторой иерархии объектов.
- Выпуск цифровых сертификатов в автоматическом и полуавтоматическом (с одобрением выпуска оператором УЦ) режимах
- Выпуск сертификатов на УЦ Microsoft CA через компонент MSCA Proxy
- Выпуск сертификатов на УЦ Dogtag, УЦ КриптоПро 2.0 для Windows, УЦ КриптоПро 2.0 для Linux с помощью штатного коннектора
- Выпуск сертификатов на Aladdin Enterprise CA с помощью штатного коннектора
- Работа с УЦ, в том числе с прошедшими аккредитацию, когда невозможно установить канал связи между JMS и УЦ в Offline режиме с помощью специального Offline адаптера
- Создание кастомизированных запросов на сертификат с возможностью выбора необходимых атрибутов пользователя для УЦ Microsoft CA и для Offline адаптера
- Отображение информации о всех выпущенных и найденных цифровых сертификатах на одном экране "Сертификаты"
- Контроль срока действия сертификатов и закрытых ключей с возможностью отправки оповещения о скором истечении действия сертификата на электронную почту
- Публикация сертификатов, выпущенных сторонними организациями, в Active Directory для последующей интеграции с системами электронного документооборота
- Публикация сертификатов Aladdin Enterprise CA средствами JMS в ресурсные системы
-
Управление ключами пользователей из различных ресурсных систем посредством регистрации в программном комплексе пользователей из следующих баз учетных данных: Microsoft Active Directory, FreeIPA, Samba AD DC, ALD Pro, Ред Адм, Альт Домен;
- Поддержка кастомных атрибутов пользователя и возможность их обновления
- Связывание учетных записей пользователей из разных ресурсных систем по совпадающему атрибуту для избегания путаницы при назначении и дальнейшем управлении электронными ключами пользователей
- Поддержка kerberos аутентификации из нескольких доменов
-
Поэкземплярный учёт средств криптографической защиты информации (СКЗИ), в том числе учёт:
- регистрации в базе данных программного комплекса дистрибутивов, копий дистрибутивов, документации, лицензий СКЗИ, аппаратных модулей СКЗИ и носителей ключевой информации (электронные ключи JaCarta, Рутокен, сертифицированные ФСБ России как СКЗИ, КриптоПро CSP, ViPNet CSP), подлежащих учету
- передачи экземпляров СКЗИ (электронные ключи JaCarta ,Рутокен, сертифицированные ФСБ России как СКЗИ, КриптоПро CSP, ViPNet CSP и т.п.) и документации сотрудникам
- установки программных СКЗИ (КриптоПро CSP, ViPNet CSP) и лицензий на АРМ пользователей
- Обнаружение и регистрация ранее установленных на АРМ пользователей КриптоПро CSP 3.9, 4.0, 5.0 и лицензий на эти СКЗИ, при наличии сетевого соединения между серверным компонентом программного комплекса и АРМ пользователя и наличии запущенного клиентского компонента программного комплекса на АРМ пользователя (требуется JMS Web Agent(JWA) и JWA Tray)
-
Автоматическое создание в электронном журнале учета СКЗИ событий, относящихся к регистрации, передаче пользователю, введению в эксплуатацию, выводу из эксплуатации, уничтожению экземпляров СКЗИ для следующих СКЗИ:
- Электронные ключи JaCarta, Рутокен, сертифицированные ФСБ России как СКЗИ
- КриптоПро CSP 3.6, 3.9, 4.0, 5.0
-
Ведение электронного журнала учета ключевых документов и автоматическое создание в нем событий, относящихся к регистрации, передаче пользователю, введению в эксплуатацию, выводу из эксплуатации, уничтожению ключевых документов, созданных с использованием следующих СКЗИ:
- КриптоПро CSP 3.6, 3.9, 4.0, 5.0
- ViPNet CSP 4.2, 4.4
- Отображение нормативных документов после операций с СКЗИ
- Формирование отчёта по учитываемым СКЗИ – электронные ключи JaCarta, Рутокен, сертифицированные ФСБ России как СКЗИ, КриптоПро CSP 3.6, 3.9, 4.0, 5.0; ViPNet CSP 4.2, 4.4 и ключевым документам в форме, соответствующей требованиям приказа ФАПСИ №152 от 13.06.2001. Экспорт отчёта в распространённые форматы
-
Автоматизация следующих операций:
- Инициализации (запись атрибутов в соответствии с установленным администратором ПО JMS профилем; атрибуты профиля устанавливаются в соответствии с политиками ИБ, принятыми в организации)
- Разметка Flash-памяти ЗНИ на открытые/закрытые разделы, количество и размеры которых устанавливаются администратором ПО JMS в соответствии с политиками организации
- Запись ISO-образов (при необходимости) из источников, расположенных по адресу, указанному администратором ПО JMS
- Считывания журналов событий безопасности и попыток несанкционированного доступа с ЗНИ пользователей в процессе синхронизации и передачи их на сервер JMS для хранения в единой базе системы
- Очистки журналов аудита с ЗНИ после успешной синхронизации
- Обновления встроенного программного обеспечения
- Обезличивания (приведения к заводским настройкам)
- Предоставления пользователю возможности доступа к закрытым разделам ЗНИ при условии успешной аутентификации в ПО JMS в соответствии с установленными администратором ПО JMS политиками использования ЗНИ
- Предоставления пользователю возможности доступа к закрытым разделам ЗНИ с использованием предварительно подготовленных администратором ПО JMS файлов-контейнеров, передаваемых пользователю защищенным способом в случае невозможности подключения к серверу ПО JMS
- UI для просмотра (Dashboard) и управления настройками сервера на Linux
- Поддержка входа по Kerberos-аутентификации
-
Web-портал самообслуживания для пользователей с возможностью разделения точек подключения на портал, публикуемый внутри сети и публикуемый во вне
- Двухфакторный вход в портал самообслуживания с возможностью гибко настроить способы входа для первого и второго шага аутентификации
- Предоставление сервиса самообслуживания для пользователей, позволяющего сотруднику самостоятельно совершать операции с ЭК, ЗНИ осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование, смену PIN-кода, замену и отзыв без обращения в ИТ- или ИБ-отделы
- Для ЗНИ функции управления доступом к монтированию скрытых разделов, перезаписи ISO-образов и перепрошивки встроенного программного обеспечения, смены PIN-кода пользователя, сбора журналов
- Осуществление технической поддержки и сопровождения пользователей, устройств и объектов на них через клиентскую часть
- Функции самообслуживания также доступны для ЭК через «толстый клиент» на ОС Windows и ОС Linux, доступны функции быстрого доступа к ЗНИ с возможностью монтирования\размонтирования защищенного раздела
- Журнал аудита (записи аудита административных операций)
- Журнал Клиентских событий (записи событий, полученных с клиента)
- Журнал предупреждений (журнал событий, требующих особого рассмотрения у администратора)
- Журнал выполнения планов обслуживания (сведения о запуске, прохождении, результате выполнения планов обслуживания
- Журналы аудита JaCarta SF/ГОСТ (записи событий безопасности и НСД)
- Оповещения об исчерпании лимита лицензий
- Оповещение по email для администраторов и пользователей по значимым событиям в системе
- Оповещение пользователя посредством всплывающих уведомлений в клиентском компоненте
-
Отправка событий журналов аудита на Syslog-сервер для возможности интеграции с SIEM-системами;
- Отображение MessageID в сообщениях Syslog
- Формирование отчета по действующим на пользователя профилям и привязанным электронным ключам посредством отдельной задачи плана обслуживания пользователей
- Экспорт данных с экранов журналов
- Проверка готовности инфраструктуры к установке JMS
- Утилита миграции с JMS 3.7 на JMS 4LX.
- Поддержка кластерных технологий (NLB) и распространённых аппаратных балансировщиков нагрузки
- Резервное копирование настроек и базы данных системы
- Резервное копирование закрытых ключей и сертификатов
Спецификация
| Системные требования |
» Сервер JMS
» СУБД
» JMS Web Admin
» JMS Web Agent
» Web-клиент из состава компонентов «Консоль управления JMS» и «JMS Web Agent»
» Клиент JMS, Консоль управления JMS («толстые клиенты»)
|
||||||||||||
| Модели поддерживаемых электронных ключей и других совместимых средств обеспечения информационной безопасности |
Электронные ключи
Рутокен
|
||||||||||||
| Поддерживаемые УЦ |
|
||||||||||||
| Ресурсные системы |
|
||||||||||||
| Масштабируемость и отказоустойчивость |
|
||||||||||||
| Территориальные ограничения использования продукта | Нет (ограничения есть только при использовании сертифицированных СКЗИ) | ||||||||||||
| Необходимость наличия лицензий на распространение JMS | Нет (лицензия ФСБ России на распространение СКЗИ требуется при продаже носителей с поддержкой российской криптографии, например, JaCarta-2 ГОСТ) | ||||||||||||
| Локализация (поддерживаемые языки) |
|
||||||||||||
| Поддерживаемые СКЗИ (функция "Учёт СКЗИ") | В JMS реализована поддержка ключевых носителей, являющихся сертифицированными СКЗИ, таких, как JaCarta-2 ГОСТ, а также сертифицированных программных СКЗИ, например, КриптоПро и ViPNet CSP. Благодаря встроенным возможностям определения новых типов СКЗИ JMS позволяет вести учёт любых аппаратных и программных СКЗИ в соответствии с нормативными правилами регулятора (ФСБ России). | ||||||||||||
| Возможность добавления других моделей электронных ключей | Есть (по запросу) | ||||||||||||
| Сертификация |
ФСТЭК России Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||||
| Единый реестр отечественного ПО | JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) | ||||||||||||
| Масштабирование | От 100 до 1 000 000 устройств (использование JMS для работы менее чем со 100 электронными ключами и средствами информационной безопасности нецелесообразно) |
Требования к аппаратному обеспечению кластера JMS 4
Таблица 1 – Требования к аппаратному обеспечению JMS
| Прогнозируемая нагрузка (число пользователей) |
1000* - 10000** |
| Требования к серверу |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA /SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
| Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS Примечания: Postgres - max_connections = 500 |
Требования приведены с учетом обработки сервером самых сложных и ресурсоемких сценариев со следующим набором операций:
- Аутентификация пользователя
- Запрос профилей пользователя
- Запрос ключевых носителей
- Проверка необходимости синхронизации
- Синхронизация ключевых носителей
* Сервер обработает тяжелые сценарии 1000 пользователей за 1 минуту.
** Сервер обработает тяжелые сценарии 10000 пользователей за 10 минут.
Подавляющее большинство операций в процессе выпуска сертификатов выполняются в фоновом режиме без участия пользователя. Поэтому время 10-15 минут выглядит (подтверждено практикой) вполне адекватным.
Если для защиты информации в базе данных используется наложенное средство "Крипто БД", то производительность JMS уменьшается на 15 % в сценариях с резервным копированием ключевых пар сертификатов и перевыпуска с генерацией новых ключевых пар.
Возможность вертикального масштабирования:
Коэффициент масштабирования ~ 1,7 при увеличении количества ядер узла в 2 раза. При этом удельная загрузка отдельного ядра уменьшается, но это не обеспечивает комфортную работу в Консоли управления JMS (WebAdmin). При нагрузке процессора 55-65% наблюдаются значительные задержки при загрузке страниц в WebAdmin. Поэтому в одиночной инсталляции не рекомендуется использовать более 8 ядер и предлагается использовать кластерную конфигурацию.
Возможность горизонтального масштабирования:
Таблица 2 – Требования к аппаратному обеспечению кластера JMS
| Прогнозируемая нагрузка (число пользователей) |
8000 - 15000 |
15000 - 25000 |
25000 - 40000 |
| Число узлов в кластере |
2 |
2 |
3 |
| Требования к серверу* – узлу кластера |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA /SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA /SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA /SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
| Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 6 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
Процессор: 10-12 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 8 ГБ, Рекомендуется – 10 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
Если в качестве сервера используется виртуальная машина, то её характеристики задаются так, чтобы производительность была равной или большей, чем указанная в таблице.
Схема
Задачи импортозамещения и санкционной независимости
JMS - Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux разработана в РФ, зарегистрирована в Едином реестре отечественного ПО - №11260.
Какие продукты зарубежных вендоров может заместить:
- Thales/Gemalto/SafeNet SAM (SafeNet Authentication Manager)
- Card Logic CMS
- HID ActivID CMS
Документация
Уважаемые коллеги.
Мы постоянно работаем над развитием нашего ПО, поэтому актуальные версии эксплуатационной документации отгружаем только вместе с актуальными дистрибутивами ПО.
Представленная для загрузки версия документации предназначена для общего ознакомления и не может быть использована для работы с актуальными версиями ПО. Просим иметь это в виду.
Новые возможности JMS4LX на 29.05.2025 г.
- Перенесён из 3.7.1 функционал доступа в AD по паролю (реализовано для Active Directory)
- Реализована поддержка Kerberos-аутентификации в eap-agent
- Версия клиента JMS: реализована возможность сохранения и обновления
-
Исправлены ошибки:
- Некорректно считываются атрибуты рабочей станции при подключении каталогов ALD PRO и FreeIPA
- При настроенном биндинге РС сертификат не публикуется в нужную ресурсную систему (каталог)
- JMS WebAdmin. Kerberos аутентификация. Отображение на фронте
- Ошибка ссылки на объект при попытке назначить Экземпляр СКЗИ для лицензии СКЗИ из раздела "Лицензии СКЗИ"
- Некоторое количество менее значительных ошибок. Подробно - по ссылке
Новые возможности JMS4LX на 27.03.2025 г.
- Добавлен вывод количества планов обслуживания в очереди в вывод терминального агента
- Поддержан HTTPS для HealthCheck API
- Реализован функционал публикации сертификата в ресурсную систему средствами JMS
- Добавлены события входа в консоль администрирования и портал самообслуживания
- Добавлена поддержка Kerberos аутентификации из нескольких доменов
- Поддержаны новые модели токенов JaCarta 3
- Отключена загрузка DNS-суффиксов из интернета по умолчанию
-
Исправлены ошибки:
- Ошибка работы с профилем выпуска сертификатов после обновления до 4.1.0.6367
- Не выпускается сертификат AeCA, если в хранилище (на токене) есть другие сертификаты
- Не публикуется сертификат в ALD Pro при выпуске через AeCA
- Не публикуется список CRL при отзыве сертификата AeCA
- Не импортируется JC WebPass токен в JMS
- Бесконечная проверка соединения JMS с каталогом учётных записей в web console
- Ошибка отображения импортированных КН на экране подключённых КН
- Проблема с установкой JWA через политики ALD Pro
- Непредвиденная ошибка при попытке просмотра свойств экземпляра СКЗИ с отсутствующей лицензией
- При неактивном чек-боксе "обязательное" атрибутов DN в шаблоне ЦС атрибут не отображается в списке доступных атрибутов в профиле JMS
- Ошибка отображения дерева привязок профилей после миграции и последовательного обновления, при наличии в изначальной БД привязанного профиля инициализации, который не поддерживается в 4LX - созданного пользователем
- Не публикуется CRL при выполнении операции "Отключить" над КН
- Вход в веб консоль выполняется с использованием Kerberos от имени бесправного пользователя
- Не проходит выпуск машинного сертификата (MS CA) на АРМ windows, linux: запрос отклоняется по причине отсутствия доступа к контроллеру
- Различия в названиях моделей между БД JMS 4.1 и криптоядром 3.7.1
- Ошибка при импорте КН без лицензии на учет СКЗИ
- Ошибка Publish suffixes downloading error
Новые возможности JMS 4LX на 19.11.2024 г.
-
Реализован выпуск машинных сертификатов по стандарту IEEE 802.1X
- Для клиентской рабочей станции под управлением Windows
- Для клиентской рабочей станции под управлением Linux
- Поддержан SecurBIO
- Поддержаны атрибуты рабочих станций, реализованы кастомные атрибуты рабочих станций
- Разработана утилита JMSCheck – проверка готовности инфраструктуры к установке JMS
- Добавлена поддержка входа по Kerberos для JMS Web Server Console
- Реализована поддержка ключевых носителей JaCarta NG
- Реализовано серверное кэширование групп пользователей из ресурсных систем при выполнении планов обслуживания
- Изменено лицензирование опции "Импорт пользователей из внешних ресурсных систем". Учитывается не регистрация пользователей, а пользователи с КН
-
Исправлены ошибки:
- Некорректное поведение консоли управления JMS при переходе в разделы, которые не включены в лицензию
- Ошибка на странице "Клиентские события" при фильтрации в столбце "Категория"
- Ошибка редактирования/сохранения профиля выпуска сертификатов MS CA после миграции с JMS 3.7.1 на JMS 4.1
- Некорректные часовые пояса у событий в отчетах
- Ошибка при копировании профиля Aladdin eCA
- При делегировании отображается вся структура OU
- Без права "Ключевые носители: чтение коннекторов" невозможно делегирование
- Ошибки в консоли конфигуратора JWM
- ПИН-код запрашивается даже если действий с КН не происходит
- Не работает расписание синхронизации КН
- Невозможно изменить ширину полей на экране с ключевыми носителями
Новые возможности JMS 4LX на 27.04.2024 г.
- Реализован портал самообслуживания JMS Web Manager
- Изменена настройка "Кол-во повторов аутентификации" в профиле Messaging
- Сделана атомарной привязка профилей к дереву ресурсной системы и настройка фильтрации
- Добавлена возможность отключения отслеживания лицензии
- Отчеты планов обслуживания переделаны в читаемой и информативной форме
-
Исправлены ошибки:
- Остановка службы eap-engine после выполнения плана обслуживания по умолчанию
- Браузеры пытаются сохранять содержимое полей ввода PIN ключевых носителей как пароли
- Планом обслуживания не добавляются пользователи при использовании фильтров по группам и USN
- При таймауте подтверждения входа по PUSH от пользователя в лог JAS попадает неверное описание события
- Не реализована обработка ошибки для сценария аутентификации Доменный пароль+OTP
- При включении eap-agent ssl enable сервер JMS отвечает ошибкой 500
- После миграции смарт-карты eToken Pro Java 72k отображаются в статусе «Не зарегистрирован»
- При свободном кол-ве OTP-аутентификаторов в лицензии не происходит выпуск на новых пользователей
- Ошибка сортировки OTP-таутентификаторов по дате создания
- Ошибка при формировании отчета по OTP, Push и Messaging-токенам
- Не приходят уведомления при ошибках в плане обслуживания OTP
- Не работает запуск плана обслуживания ЛК через maintenance run
- Не происходит автозапуск JWA на Astra Linux Смоленск 1.7.X
- В консоли администрирования не отображаются подключенные КН если среди них есть eToken
Новые возможности JMS 4LX на 01.11.2023 г.
- Реализована поддержка ключей Rutoken
- Реализована поддержка УЦ КриптоПро 2.0 для Windows
- Реализована поддержка УЦ КриптоПро 2.0 для Linux
- Расширен аудит изменения списка операций в роли
- Реализована отправка текущего времени и версии JAS на сервер A2FA
- Расширен аудит изменения кастомных атрибутов пользователя
- В журнал аутентификаций добавлена информация об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
- Поддержка обновления с JMS 3.7
-
Исправлены ошибки:
- JRS. Не работает аутентификация, если у пользователя пароль с кириллицей
- JRS. C каталогом FreeIPA не корректно работают опции "UserNotFoundAction": "Pass", если к логину добавить пробел
- Ошибка 500 при выпуске messaging токенов, если в поле systemid передать строку с большим значением символов
- Недоступна установка OTP PIN кода при выборе режима аутентификации с OTP PIN
- При выполнении плана обслуживания "Удаление программных ОТП-токенов" в логах A2FAService не приходит метод removeTicket
- Не прописывается серийный номер КН при инициализации через ЛК jwa
- Не работает настройка "Требовать у пользователя смены PIN при первом входе"
- Утилита миграции с JMS 3.7.1 на JMS 4LX. Проблема отображения владельца КН
Новые возможности JMS 4LX на 11.08.2023 г.
- Реализована поддержка КриптоБД для MS SQL Server/Postgres/Jatoba в JMS и JAS
- Реализованы предупреждения об исчерпании лимита лицензий JMS и JAS (A2FA)
- Реализован перевыпуск JAS-токенов при изменении учетных данных пользователя
-
Реализован JAS Radius Server
- Реализована аутентификация по OTP, Messaging, Push-токенам
- Реализована аутентификация с перенаправлением на сторонний RADIUS-сервер
- Реализовано определение доступных средств аутентификации
- Реализован ручной / автоматический выбор доступных средств аутентификации
- Реализовано указание домена по умолчанию
- Реализована возможность смены пароля пользователя через JAS
- Реализована проверка вхождения пользователей в группы LDAP-каталога
- Реализована возможность проверки «второго фактора» первым
- Реализована возможность задавать индивидуальные настройки для каждого RADIUS-клиента
- Реализована проверка членства в группе при однопроходном режиме
- Для однопроходного режима реализована аутентификация по Push
- Реализовано проксирование запросов на внешний RADIUS-сервер в однопроходном режиме
- Реализована проверка статуса активации токенов в A2FA
- Реализован API для мониторинга статуса сервиса
- Добавлена кастомизация текстовых сообщений пользователю
- Изменен формат настроек проверки вхождения пользователя в группу и логика установки 25 атрибута
- Реализовано получение UPN-суффиксов из LDAP-каталогов
- Исправлены ошибки, внесены улучшения