JaCarta Management System 4LX для Linux
Для централизованного управления средствами аутентификации и электронной подписи, защищенными носителями информации, средствами безопасной удаленной работы, устройствами IoT и М2М и другими совместимыми средствами обеспечения информационной безопасности
- Учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, а также защищенными носителями информации JaCarta SF/ГОСТ (средство контроля отчуждения (переноса) информации со съёмных машинных носителей информации, защищённый носитель информации (ЗНИ))
- Аутентификация и авторизация пользователей в процессе монтирования скрытых разделов защищённых носителей информации (ЗНИ)
- Централизованная запись ISO-образов на предназначенные для этого открытые и скрытые разделы ЗНИ.
- Перепрошивка операционной системы (firmware) ЗНИ
Все токены и ЗМНИ на учёте
JMS 4LX для Linux позволяет автоматизировать учёт токенов и ЗНИ JaCarta SF/ГОСТ. Учитываются владелец, номер, модель и объекты на токене и ЗНИ, а также рабочие станции, к которым подключаются токены и ЗНИ.
Для оформления бумажных документов, таких, как отчёты и заявки на выдачу токена и ЗНИ, в JMS-4LX реализована встроенная подсистема печати.
Автоматическое ведение реестра токенов и ЗМНИ
JMS 4LX автоматически ведёт реестр токенов и ЗНИ, подключенных к рабочим станциям пользователей, и администратор JMS 4LX может принять решение о регистрации любого из таких токенов/ЗНИ в системе и применении к ним установленных политик ИБ.
Автоматическое ведение реестра позволяет избежать регистрации недоверенных токенов и ЗНИ в системе, а также случайной регистрации и инициализации токена, выданного сторонней организацией (например, ФНС России или банком), что может привести к потере важной информации.
Настраиваемая подсистема печати
С помощью встроенной подсистемы печати JMS 4LX может формировать и выводить на печать заявки на выдачу, замену и отзыв токена/ЗНИ или сертификатов. Доступна функция "отложенной печати", позволяющая накапливать документы для одномоментной распечатки по требованию.
Наличие подсистемы печати позволяет максимально упростить ведение документооборота, связанного с жизненным циклом токенов и ЗНИ, избавить офицеров безопасности от рутинной работы, а также исключить риск ошибок при заполнении документов.
Защищённые носители информации
JMS 4LX - первая из систем управления, поддерживающая работу с защищёнными носителями информации JaCarta SF/ГОСТ.
Платформа не только реализует управление жизненным циклом ЗНИ, но и выполняет функции аутентификации и авторизации пользователей при монтировании скрытых разделов ЗНИ. Причём эта возможность существует как при наличии, так и при отсутствии связи клиента JMS 4LX с сервером.
Полный контроль
от выпуска до отзыва
JMS 4LX позволяет полностью управлять токенами и программными средствами аутентификации на всех этапах их жизненного цикла, включая выдачу, перевыпуск и отзыв токенов, ЗНИ и всех связанных с ними объектов (сертификатов, ключей, меток АПМДЗ и т.д.). Автоматическая синхронизация токенов и ЗНИ позволяет оперативно приводить их текущий парк в актуальное состояние.
Поддерживаются токены и смарт-карты JaCarta и ЗНИ JaCarta SF/ГОСТ.
Автоматическая синхронизация токенов и ЗНИ
JMS 4LX позволяет освободить персонал от рутинных сервисных операций с токенами и ЗНИ за счёт их автоматизации. В случае обновления политик ИБ или истечения срока действия сертификатов система JMS 4LX сама позаботится о перевыпуске сертификатов, других объектов и применит все совершённые изменения политик к токену или ЗНИ.
В результате пользователи избавляются от составления заявок и простоев в работе, а офицеры безопасности получают возможность использовать освободившееся время для решения других задач.
Запись ISO-образов и перепрошивка операционных систем ЗНИ
JMS 4LX реализует возможность записи ISO-образов на предназначенные для этого открытый или скрытый разделы ЗНИ (наличие/отсутствие задаётся администратором).
Перепрошивка операционной системы ЗНИ также возможна и является штатной функцией платформы.
Как и большинство функций JMS 4LX, функции записи ISO-образов и перепрошивки операционных систем ЗНИ могут выполняться в автоматическом режиме в процессе синхронизации ЗНИ.
Поддержка Удостоверяющих центров и ресурсных систем
JMS 4LX для Linux поддерживает работу со следующими типами удостоверяющих центров (УЦ) и служб каталогов:
- Удостоверяющие центры:
- Microsoft CA
- Dogtag
- EJBCA
- Офлайн-адаптер к УЦ
- Службы каталогов:
- Samba AD
- FreeIPA
Компонент офлайн-коннектор из состава продукта позволяет JMS 4LX взаимодействовать практически с любым УЦ в офлайн-режиме. Это особенно удобно в случае необходимости взаимодействовать с аттестованными УЦ, работающими в изолированных контурах.
Резервное копирование сертификатов и других объектов
JMS 4LX может сохранять в защищённом хранилище (защита реализуется применением наложенного СКЗИ Крипто БД разработки "Аладдин Р.Д.") копии выпущенных объектов, в том числе сертификатов. Это позволяет гарантировать их сохранность и записывать при необходимости старые сертификаты и другие объекты из резервной копии на новые токены/ЗНИ.
Автоматическая поддержка исполнения политик безопасности
С помощью реализованного в JMS 4LX механизма профилей платформа связывает между собой такие сущности, как "пользователь", "токен", "ЗНИ" или "объект на токене/ЗНИ". Профиль представляет собой набор правил (политик), применяемых к перечисленным сущностям. Профиль может быть применён к контейнеру (OU) ресурсной системы, группе или отдельному пользователю. В профиле, например, можно указать параметры сертификатов, выпускаемых на токены пользователей из конкретной OU, структуру ЗНИ (наличие и размеры открытых/срытых разделов) и т.д. Включение нового пользователя в указанную OU вызовет автоматический выпуск для него, например, указанного сертификата и запись его на токен в процессе синхронизации (применения политик). В случае ЗНИ – запись указанного ISO-образа на соответствующий раздел ЗНИ. Исключение пользователя из OU вызовет автоматический отзыв его сертификата и удаление последнего с токена пользователя. Это же справедливо и для ISO-образа.
Централизованное управление политиками
Конфигурируя JMS 4LX, администратор настраивает политики для всех OU, групп или индивидуальных пользователей JMS 4LX. При этом действуют все правила наследования и фильтрации в полной аналогии с реализацией Microsoft AD. Затем администратор настраивает параметры синхронизации (фактически, расписание), после чего платформа автоматически отслеживает все изменения и, в зависимости от перемещения пользователя по подразделениям компании, выпускает/блокирует токены/ЗНИ и/или отзывает объекты на них. Вмешательство администратора в дальнейшем требуется только в случае необходимости внесения изменения в политики или разрешения нештатных ситуаций.
Снижение затрат на администрирование
Благодаря своим возможностям автоматизации, JMS 4LX существенно повышает качество и производительность работы специалистов ИТ- и ИБ-служб организации, оставляя им время для решения других важных задач.
Ограничение влияния "человеческого фактора"
Одним из важных преимуществ, предоставляемых JMS 4LX, является исключение риска человеческой ошибки за счёт полной автоматизации рутинных операций по администрированию токенов/ЗНИ и объектов на них. Администратор один раз заполняет профиль, тщательно проверяет корректность заполнения, проверяет результат применения профиля. После этого профиль всегда отрабатывает корректно, поскольку отсутствует главный источник ошибок – многократный ручной ввод/редактирование информации.
Исключение простоев в работе пользователей
Автоматическая синхронизация токенов/ЗНИ с помощью JMS 4LX позволяет максимально сократить время простоя пользователей из-за периодического изменения политик информационной безопасности. Пользователю достаточно подключить токен/ЗНИ к рабочему месту, на котором установлен Клиент JMS 4LX, после чего токен/ЗНИ автоматически синхронизируется с базой данных платформы и будет готов к работе.
Система также следит за сроком действия пользовательских сертификатов и актуальностью данных в них.
В назначенный срок или при изменении существенных данных в сертификате (например, фамилии) JMS 4LX позаботится об автоматическом перевыпуске сертификата и записи нового сертификата на токен пользователя в процессе синхронизации.
Предоставляет сервис самообслуживания
В JMS 4LX реализован сервис самообслуживания пользователей, который позволяет сотруднику самостоятельно совершать операции с токенами/ЗНИ, осуществляя их выпуск, синхронизацию, разблокирование и отзыв без обращения в ИТ- или ИБ-отдел.
Для ЗНИ также реализованы функции управления доступом к монтированию скрытых разделов, перезаписи ISO-образов и перепрошивки операционных систем (требует настройки политик администратором).
Использование сервиса значительно ускоряет время решения возможных проблем и существенно снижает затраты на администрирование инфраструктуры аутентификации и управления ЗНИ.
Производительность, масштабируемость и отказоустойчивость
Система JMS 4LX вне зависимости от среды функционирования спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость.
Поддерживаются технологии кластеризации NLB, обеспечивающие балансировку нагрузки между несколькими серверами JMS 4LX, отказоустойчивость серверов JMS 4LX, работающих с общей базой данных, а также катастрофоустойчивость при разнесении серверов и баз данных платформы по разным площадкам.
Версия JMS 4LX прошла серию нагрузочных тестов и была оптимизирована по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы, показав высокую производительность и практически неограниченную масштабируемость.
Мощная система журналирования
В состав JMS 4LX входит проработанная система журналирования, позволяющая фиксировать все события (существует возможность фильтрации), связанные с управлением администраторами и эксплуатацией пользователями токенов/ЗНИ и объектов на них. Система ведёт собственный служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
В части ЗНИ система автоматически при каждой синхронизации собирает с подключенных ЗНИ журналы их использования, недоступные пользователю ЗНИ. В журналах содержится информация обо всех фактах использования/попыток использования ЗНИ – подключения, попытки монтирования (удачные/неудачные) и т. д.
Отправка уведомлений
Исторически в JMS реализована настраиваемая система уведомлений, которая помогает администраторам отслеживать важные для них события: подключение нового токена/ЗНИ, окончание срока действия сертификатов на токене и т.д. путём отправки сообщений на e-mail.
В версии JMS 4LX все события, связанные с управлением токенами/ЗНИ и эксплуатацией ЗНИ могут быть выгружены на сервер Syslog, что означает возможность интеграции платформы с любыми стандартными SIEM-системами.
Реализует встроенные механизмы ИБ
В JMS 4LX на архитектурном уровне заложены механизмы безопасности, гарантирующие надёжную защиту инфраструктуры аутентификации, а также управления и эксплуатации ЗНИ.
Доступ администраторов и пользователей к функциям платформы в соответствии с заданными ролевой моделью и полномочиями возможен только после прохождения процедуры двухфакторной аутентификации.
Все значимые данные платформы хранятся в защищённом хранилище. Для защиты данных вне зависимости от среды функционирования используется наложенное сертифицированное СКЗИ Крипто БД, разработанное компанией "Аладдин Р.Д." и много лет успешно внедряемое в крупнейших государственных и коммерческих организациях России и стран бывшего СНГ.
Каналы передачи данных шифруются с помощью HTTPS (SSL). Отказоустойчивость обеспечивается технологиями кластеризации NLB и резервным копированием базы данных.
Легко устанавливается, управляется и эксплуатируется
За счёт автоматизации процессов установки и настройки, а также ряда полезных возможностей, таких, как пакетная регистрация и взятие под управление выпущенных ранее токенов/ЗНИ, внедрение JMS 4LX максимально сжато во времени.
Система предоставляет современный и интуитивно-понятный интерфейс как для администраторов и офицеров безопасности (Консоль управления JMS 4LX), так и для пользователей (Клиент JMS 4LX).
Пакетная регистрация токенов и ЗНИ
В JMS 4LX реализована функция пакетной регистрация токенов/ЗНИ JaCarta. С каждой партией токенов/ЗНИ JaCarta предоставляется специальный файл, позволяющий за несколько минут автоматически внести в систему всю необходимую информацию (номера чипов, СКЗИ и корпусов). При этом сами токены/ЗНИ даже не нужно вынимать из коробки.
Имеется возможность самостоятельного создания файла пакетной регистрации для ранее закупленных токенов/ЗНИ.
Работа с ранее выпущенными токенами и ЗНИ
JMS 4LX позволяет автоматически включить в работу ранее выпущенные токены/ЗНИ и избежать проблем, связанных с их повторной инициализацией (что может приводить, например, к невозможности читать старые почтовые сообщения из-за удаления криптографических ключей с токена либо использовать информацию со скрытых разделов). При этом все выпущенные ранее объекты сохраняются на токене/ЗНИ.
Технические требования к среде функционирования JMS 4LX для Linux
Сервер и JMS Web Admin JMS 4LX для Linux
Операционная система:
- Astra Linux Special Edition 1.6 (релиз "Смоленск")
- Astra Linux Common Edition 2.12 (релиз "Орёл")
- РЕД ОС 7.2, 7.3
- ОС Альт 8 СП
Сервер СУБД (Linux)
- PostgreSQL v.9.6
Web-клиент (Linux)
Операционная система:
- Astra Linux Special Edition 1.6 (релиз "Смоленск")
- Astra Linux Common Edition 2.12 (релиз "Орёл")
- РЕД ОС 7.2, 7.3
- ОС Альт 8 СП
Web-браузер
- Firefox 60.0.2 и выше