Uploaded bydtraicheff
PPT, PDF13 views

Sun Identity management presentation 2.ppt

Документ описывает стратегические инициативы и технологии Sun Microsystems, связанных с управлением идентификацией и безопасностью персональных данных. Он также обсуждает влияние закона Сарбейнса-Оксли на корпоративную ответственность и управление доступом, включая важность разделения полномочий и контроля за доступом к ресурсам. В завершение упоминается использование систем для обеспечения безопасности и управления идентичностью пользователей в различных контекстах.

Embed presentation

Download to read offline
Беcпроигрышная комбинация стратегических преимуществ Виктор Буряков Виктор Буряков Sun Microsystems Sun Microsystems Global S Global Solutions olutions Engage Engagem ment manager ent manager, , CIS region CIS region e-mail:Victor.Bouryakov@sun.com e-mail:Victor.Bouryakov@sun.com Дмитрий Романов Дмитрий Романов Sun Microsystems Sun Microsystems dmitri.romanov@sun.com dmitri.romanov@sun.com Комплексная Комплексная архитектура архитектура гарантированной гарантированной защиты персональных защиты персональных данных данных
ГЛАВНАЯ ЦЕЛЬ АТАК
Бизнес-пользователи IT-эксплуатация Сисадмины HR РАСПРЕДЕЛЕНИЕ ВЕЛИЧИНЫ ВЕРОЯТНОСТИ ИНЦИДЕНТА ИБ И УЩЕРБА ОТ ИНЦИДЕНТА
●Принят в 2002 году после грандиозного скандала с Enron, WorlCom и Arthur Andersen Сенатор Сенатор Paul Sarbanes Paul Sarbanes Конгрессмен Конгрессмен Mike Oxley Mike Oxley •С 15 июля 2006 г. обязателен в полном объеме для всех публичных компаний США или компаний других стран (с оборотом>700 m$), чьи акции размещены на биржах США •Требует предоставления в жесткие сроки точных доказательств правильности любых исходных данных финансовой отчетности Sarbanes-Oxley Act Sarbanes-Oxley Act Закон США
•Усиливает юридическую персональную ответственность руководства (СЕО+CFO) компаний за правильность финансовой отчетности •Предусматривает административную (много- миллионные штрафы) и уголовную ответственность руководства (до 20 лет тюрьмы) за невыполнение данного закона SEGREGATION OF D SEGREGATION OF DU UTIES TIES SOX - ОСОБО:
•Критически важные транзакции или действия не могут быть выполнены единолично одним человеком •Жесткие oпределения сфер кoнфликта интересoв при дoступе к разным финансoвым системам •Жесткие требования по ограничению единоличного накопления привилегий доступа к системам, в том числе ИТ Особо- Особо- Разделение пo Разделение пoлн лнo oм мo oчий по чий по SOX: SEGREGATION OF D SEGREGATION OF DU UTIES TIES
АНАРХИЯ DIGITAL IDENTITY ERP LDAP A39485 A39485 В среднем в ИТ ресурсе 5% of пользователей имееют 2 и более идентификаторов идентификаторов Clayton Woo Clayton Woo Exchange: claytonw NT: c_woo Clayton Woo Clayton Woo • ERP: cwoo Clayton Woo Clayton Woo AD: woo Clayton Woo Clayton Woo LDAP: A49382 Clayton Wo Clayton Wo SecurID: A49382 Clayton Wo Clayton Wo Clayton Woo Clayton Woo
VIRTUAL Виртуальное централизованное Identity & Audit management Без создания единой глобальной точки отказа
Identity Manager SPE Identity Auditor Identity Manager Управление разными атрибутами идентификации там, где они естественно находятся, при этом осуществляется отображение этих атрибутов на данные об одном и том же физическим лице Virtual Identity- Virtual Identity-минимум данных минимум данных Digital Identity Digital Identity Атрибуты Virtual Identity Геном Digital Identity HR Joe Smith Sun Virtual Identity Directory
Sun Virtual IdM Sun Virtual IdM HR Virtual CREATE UPDATE Sun Identity Manager управляет и контролирует данные идентичности пользователей там, где данные естественно находятся, т.е. в самих ресурсах), не копируя эти данные ActiveSync SmartPolling Event Listener Используя технологии ActiveSync, SmartPolling, Event Listener для контроля всех изменения в ресурсах и принятия немедленных мер реагирования на эти изменения или сбора журнальной статистики (в том числе Activity Log)
Sun Virtual IdM Sun Virtual IdM HR Virtual Пользователи сохраняют пути доступ в приложения как было и до внедрения IdM IdM вмешивается только в случае изменений прав доступа Что произойдет при катастрофе IdM ???? НИЧЕГО !!!! DISABLE ENABLE IdM после восстановления сам узнает какие изменения в базе HR сделаны в период своего простоя и сделает update
• Role Manager решает вопрос “ЧТО ДЕЛАТЬ” в отношении прав доступа к информационым системам > Определяет Роли и Правила, применяемые к правам доступа > Определяет и отвечает на вопрос «Кто и какие имеет Права Доступа Куда?” > Отвечает за аудит прав доступа • Identity Manager решает вопрос “КАК ДЕЛАТЬ” в отношении прав доступа к информационым системам > Предоставляпет права доступа и контролирует сохранение/ модификацию/лишение прав доступа к информационным ресурсам > Является посредником между информационными ресурсами и HR-database + Role manager УПРАВЛЕНИЕ РАЗДЕЛЕНИЕМ ПОЛНОМОЧИЙ
Audit Scan Report: следующие пользователи в AD: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx и в SunONE: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx принадлежат лицам не числящимися в базе данных HR как постоянные сотрудникм Устранить нарушение автоматически ? Yes No SAP “ “ЗАЧИСТКА” ДИРЕКТОРИЙ И РЕСУРСОВ ЗАЧИСТКА” ДИРЕКТОРИЙ И РЕСУРСОВ Политика 1: Только официальные сотрудники, внесенные в базу данных HR, могут иметь доступ к ресурсам Запускает сканирование всех ресурсов и пользователей Remediate Notify
Мониторинг активности пользователя в течение определенного времени по всем доступным ему ИТ ресурсам ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ
 Интеграция с системой оповещения Symantec Security Event Management Сервис “Identity for Сервис “Identity for SEM” SEM”  Срочное блокирование доступа пользователя при грубых (по заранее введенным критериям) нарушениях правил Интеграция с Интеграция с системами системами мониторинга доступа мониторинга доступа  Преконфигурированные отчеты по аудиту (SOX), требуемые законодательно  Настроенные отчеты (по внутреннему корпоративному кодексу) Отчеты о Отчеты о нарушениях нарушениях  Суммарные сводные отчеты о нарушениях  Гибкое конфигурирование(фильтрование) нарушений: по политике, по ресурсам, по департаментам, пользователям и т.д. Суммарные отчеты Суммарные отчеты высокого уровня высокого уровня  Авто-скан ресурсов: регулярный автоматический (по расписанию) или по особому случаю  Автоматическое определение нарушений, извещение о них и устранение нарушений Гибкое Гибкое о обнаружение бнаружение нарушения нарушения выполнения политик выполнения политик  Преконфигурированные /best practices/ наиболее часто используемые политики контроля  Кастомизированные политики Политики ИТ- Политики ИТ- безопасности и безопасности и аудита аудита Описание Функция Функция IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ
Portal, Apps, Web Services Managed Resource LDAP Directory Provisioning Transaction Manager Pluggable Audit Event Tracking SPML RDBMS store for auditing and transactions SPE Users, Configuration & Tracked Event Data User Server LDAP Delegated Admin SPE Dashboard SPE Configuration Web Interface Workflow Engine Sync Engine Admin Server IDM Repository SPML Approval Requests View Tracked Event Data SPE Delegated Admins SPE Configuration Backup IDM Workflow Tasks, Forms, Rules SPE Context API Provisioning / Sync Transactions Agent-less Connectivity to target Systems SPE Context API Identity Manager SPE Управление учетными записями миллионов внешних пользователей Sun Identity Management - Service Provider Edition Поставлятся как стандартный функционал Sun IdM 7/8
<1000 1000- 2500 2500- 5000 5000- 10000 10000- 25000 25000- 50000 50000- 100000 100000- 300000 300000- 500000 >500000 0 0.05 0.1 0.15 0.2 0.25 0.3 0.35 ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ: ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ: >500000 Employees Самая большая система в продуктиве- 600 тысяч пользователей 1000 Систем в эксплуатации и 14 миллионов идентичностей под контролем 75% всех систем – в больших и средних компаниях
ПЕРВАЯ ПЕРВАЯ СИСТЕМА В РОССИИ: СИСТЕМА В РОССИИ: 16 тысяч пoльзoвателей
Ресурсы внутреннего Ресурсы внутреннего контура контура Программный комплекс защищенного Программный комплекс защищенного терминального доступа терминального доступа Терминальные рабочие места Терминальные рабочие места HR DATABASE ПЕРСОНАЛЬНЫЕ ПЕРСОНАЛЬНЫЕ И И “CONFIDENTIAL” “CONFIDENTIAL” ДАННЫЕ ДАННЫЕ Внешние ресурсы Внешние ресурсы Интернет Интернет
Рабочее место Windows • Полноценная работа с Windows • Удаленное управление сессиями на Windows • Доступ к своей сессии с разных Sun Ray • Лицензированный клиент RDP CВЕРХ-ТОНКИЙ КЛИЕНТ
Сеть “B” Сеть А ПЕРСОНАЛЬНЫЕ ДАННЫЕ Сеть C Сеть D Сеть “A” Сеть “C” Сеть “D” Безопасный доступ к приложениям (Secure Network Access Platform, SNAP) При помощи Trusted Solaris, возможен доступ к сетям с различным уровнем секретности CВЕРХ-ТОНКИЙ КЛИЕНТ
Solaris 10 Trusted Extensions Мандатный контроль доступа и действий по степеням грифов объектов SEGREGATION OF DUTIES Обычная Новости Музыка Чаты Solaris 10 или Trusted Extensions Бизнес- иерархия Персональ- ные данные Совет директоров Вице- президенты Управляющие Trusted Extensions Гос.иерархия Сов.секретно секретно Персональные данные ДСП Trusted Extensions • Все объекты могут различаться по степени важности, в том числе -”персональные данные” • Доступ и действия регулируются по иерархическим отношением грифов
Тотальный контроль действий ЗАГОЛОВОК 'Restricted' ЗАГОЛОВОК 'Internal' Попытки копирования секретной (или персональной) информации в несекретный файл пресекаются Не допускается передача информации по почте
Работа с различными периферийными устройствами USB HID ● Клавиатуры ● Мыши ● Сканеры штрих-кодов ● Считыватели магнитных карт USB Принтеры ● USB Принтеры (Post Script) ● Другие принтеры при помощи Ghostscript/ Vividata SW Специфичные устройства ● USB Сканеры (SANE) ● USB фотокамеры (gPhoto) ● Serial принтеры ● USB биометрические сканеры ● USB/Serial кассовая/банковская периферия Open Source драйвера через LIBUSB API USB MASS STORAGE ● Внешний HDD ● Zip Drive ● Flash диск C ЗАПРЕТОМ / КОНТРОЛЕМ КОПИРОВАНИЯ ПЕРСОНАЛЬНЫХ И СЕКРЕТНЫХ ДАННЫХ
2007 ГОД- НОВОЕ FRAMEWORK ОЕМ – СОГЛАШЕНИЕ с компанией Свемел: 1. Предоставлены исходные коды SOLARIS 10+TRUSTED EXTENTION для SPARC и x86 архитектур 2. РАСШИРЕН СПИСОК Source Codes ДЛЯ разработки “Derivatives”, ОЕМ –СБОРКИ, СЕРТИФИКАЦИИ И РАСПРОСТРАНЕНИЯ
«Доверенная операционная система «Доверенная операционная система «Циркон» «Циркон» (на базе ОС (на базе ОС Trusted Solaris Trusted Solaris 8) 8) производимая «Свемел» получила производимая «Свемел» получила сертификат соответствия ФСТЭК сертификат соответствия ФСТЭК России № 1303 от 20 декабря 2006 России № 1303 от 20 декабря 2006 года. года. Это означает, что на основе Это означает, что на основе доверенной операционной среды доверенной операционной среды «Циркон» возможно создание «Циркон» возможно создание защищенных автоматизированных защищенных автоматизированных систем для обработки информации систем для обработки информации содержащей конфиденциальные содержащей конфиденциальные сведения. сведения. Технология Технология Trusted Solaris 8 Trusted Solaris 8 + + Sun Ray Sun Ray - - российская ОЕМ- российская ОЕМ- версия версия
РУССКИЙ SOLARIS 8,9,10…..
Спасибо за внимание!

More Related Content

PPTX
Проблемы управления правами доступа к информационным системам крупной торгово...
byCUSTIS
 
PDF
1IDM
by1idm
 
PDF
Введение в системы управления идентификационными данными и доступом (IAM)
byКРОК
 
PDF
5 dell softtware_minsk_june_25_2015
bytrenders
 
PDF
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
byExpolink
 
PPT
Oracle минеев
byExpolink
 
PDF
Управление доступом к корпоративным данным и контроль привилегированных польз...
bySelectedPresentations
 
PPTX
Создание эффективной и многомерной модели управления идентификацией, доступом...
byDell_Russia
 
Проблемы управления правами доступа к информационным системам крупной торгово...
byCUSTIS
 
1IDM
by1idm
 
Введение в системы управления идентификационными данными и доступом (IAM)
byКРОК
 
5 dell softtware_minsk_june_25_2015
bytrenders
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
byExpolink
 
Oracle минеев
byExpolink
 
Управление доступом к корпоративным данным и контроль привилегированных польз...
bySelectedPresentations
 
Создание эффективной и многомерной модели управления идентификацией, доступом...
byDell_Russia
 

Similar to Sun Identity management presentation 2.ppt

PDF
Две крупные рыбы: One Identity Manager и Solar inRights
byКРОК
 
PPTX
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
byBAKOTECH
 
PDF
Microsoft. Сергей Шуичков. "Сервисы Microsoft для обеспечения безопасности и ...
byExpolink
 
PPTX
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
byExpolink
 
PPT
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
byExpolink
 
PPT
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
byExpolink
 
PPTX
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
byExpolink
 
PPS
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
byArtemAgeev
 
PPTX
иб Cti 2014
byTim Parson
 
PDF
Услуги информационной безопасности
byCTI2014
 
PDF
Управление доступом к web-приложениям (Oracle)
byКРОК
 
PDF
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
byDialogueScience
 
PPSX
Microsoft. Алексей Солодовников. "Технологии безопасности и защиты информации...
byExpolink
 
PPT
Internal Security (Introduction Course)
byDmitry Harchenko
 
PDF
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
byExpolink
 
PPTX
MMS 2010: Secure collaboration
byAleksei Goldbergs
 
PDF
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
PDF
2015 08 26 ИБ Стратегия обороны серия №7
byКомпания УЦСБ
 
PPS
Oracle. Олег Файницкий. "Минимизация операционных рисков и повышение удовлетв...
byExpolink
 
PDF
Презентация 2015-07-29 12.59 Пятая серия_ Будни контрразведчика_ шпионаж, са...
byКомпания УЦСБ
 
Две крупные рыбы: One Identity Manager и Solar inRights
byКРОК
 
Контроль и аудит изменений в ИТ-инфраструктуре (Владислав Самойленко, БАКОТЕК)
byBAKOTECH
 
Microsoft. Сергей Шуичков. "Сервисы Microsoft для обеспечения безопасности и ...
byExpolink
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
byExpolink
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
byExpolink
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
byExpolink
 
Oracle. Сергей Базылко. "Oracle Security: Противодействие внутренним угрозам ...
byExpolink
 
Синицын Александр Анатольевич. Опыт внедрения системы централизованного управ...
byArtemAgeev
 
иб Cti 2014
byTim Parson
 
Услуги информационной безопасности
byCTI2014
 
Управление доступом к web-приложениям (Oracle)
byКРОК
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
byDialogueScience
 
Microsoft. Алексей Солодовников. "Технологии безопасности и защиты информации...
byExpolink
 
Internal Security (Introduction Course)
byDmitry Harchenko
 
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
byExpolink
 
MMS 2010: Secure collaboration
byAleksei Goldbergs
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
2015 08 26 ИБ Стратегия обороны серия №7
byКомпания УЦСБ
 
Oracle. Олег Файницкий. "Минимизация операционных рисков и повышение удовлетв...
byExpolink
 
Презентация 2015-07-29 12.59 Пятая серия_ Будни контрразведчика_ шпионаж, са...
byКомпания УЦСБ
 

Sun Identity management presentation 2.ppt

  • 1.
    Беcпроигрышная комбинация стратегических преимуществ Виктор Буряков Виктор Буряков SunMicrosystems Sun Microsystems Global S Global Solutions olutions Engage Engagem ment manager ent manager, , CIS region CIS region e-mail:Victor.Bouryakov@sun.com e-mail:Victor.Bouryakov@sun.com Дмитрий Романов Дмитрий Романов Sun Microsystems Sun Microsystems dmitri.romanov@sun.com dmitri.romanov@sun.com Комплексная Комплексная архитектура архитектура гарантированной гарантированной защиты персональных защиты персональных данных данных
  • 2.
  • 3.
  • 4.
    ●Принят в 2002году после грандиозного скандала с Enron, WorlCom и Arthur Andersen Сенатор Сенатор Paul Sarbanes Paul Sarbanes Конгрессмен Конгрессмен Mike Oxley Mike Oxley •С 15 июля 2006 г. обязателен в полном объеме для всех публичных компаний США или компаний других стран (с оборотом>700 m$), чьи акции размещены на биржах США •Требует предоставления в жесткие сроки точных доказательств правильности любых исходных данных финансовой отчетности Sarbanes-Oxley Act Sarbanes-Oxley Act Закон США
  • 5.
    •Усиливает юридическую персональную ответственностьруководства (СЕО+CFO) компаний за правильность финансовой отчетности •Предусматривает административную (много- миллионные штрафы) и уголовную ответственность руководства (до 20 лет тюрьмы) за невыполнение данного закона SEGREGATION OF D SEGREGATION OF DU UTIES TIES SOX - ОСОБО:
  • 6.
    •Критически важные транзакцииили действия не могут быть выполнены единолично одним человеком •Жесткие oпределения сфер кoнфликта интересoв при дoступе к разным финансoвым системам •Жесткие требования по ограничению единоличного накопления привилегий доступа к системам, в том числе ИТ Особо- Особо- Разделение пo Разделение пoлн лнo oм мo oчий по чий по SOX: SEGREGATION OF D SEGREGATION OF DU UTIES TIES
  • 7.
    АНАРХИЯ DIGITAL IDENTITY ERP LDAP A39485 A39485 Всреднем в ИТ ресурсе 5% of пользователей имееют 2 и более идентификаторов идентификаторов Clayton Woo Clayton Woo Exchange: claytonw NT: c_woo Clayton Woo Clayton Woo • ERP: cwoo Clayton Woo Clayton Woo AD: woo Clayton Woo Clayton Woo LDAP: A49382 Clayton Wo Clayton Wo SecurID: A49382 Clayton Wo Clayton Wo Clayton Woo Clayton Woo
  • 8.
    VIRTUAL Виртуальное централизованное Identity & Auditmanagement Без создания единой глобальной точки отказа
  • 9.
    Identity Manager SPE IdentityAuditor Identity Manager Управление разными атрибутами идентификации там, где они естественно находятся, при этом осуществляется отображение этих атрибутов на данные об одном и том же физическим лице Virtual Identity- Virtual Identity-минимум данных минимум данных Digital Identity Digital Identity Атрибуты Virtual Identity Геном Digital Identity HR Joe Smith Sun Virtual Identity Directory
  • 10.
    Sun Virtual IdM SunVirtual IdM HR Virtual CREATE UPDATE Sun Identity Manager управляет и контролирует данные идентичности пользователей там, где данные естественно находятся, т.е. в самих ресурсах), не копируя эти данные ActiveSync SmartPolling Event Listener Используя технологии ActiveSync, SmartPolling, Event Listener для контроля всех изменения в ресурсах и принятия немедленных мер реагирования на эти изменения или сбора журнальной статистики (в том числе Activity Log)
  • 11.
    Sun Virtual IdM SunVirtual IdM HR Virtual Пользователи сохраняют пути доступ в приложения как было и до внедрения IdM IdM вмешивается только в случае изменений прав доступа Что произойдет при катастрофе IdM ???? НИЧЕГО !!!! DISABLE ENABLE IdM после восстановления сам узнает какие изменения в базе HR сделаны в период своего простоя и сделает update
  • 12.
    • Role Manager решаетвопрос “ЧТО ДЕЛАТЬ” в отношении прав доступа к информационым системам > Определяет Роли и Правила, применяемые к правам доступа > Определяет и отвечает на вопрос «Кто и какие имеет Права Доступа Куда?” > Отвечает за аудит прав доступа • Identity Manager решает вопрос “КАК ДЕЛАТЬ” в отношении прав доступа к информационым системам > Предоставляпет права доступа и контролирует сохранение/ модификацию/лишение прав доступа к информационным ресурсам > Является посредником между информационными ресурсами и HR-database + Role manager УПРАВЛЕНИЕ РАЗДЕЛЕНИЕМ ПОЛНОМОЧИЙ
  • 13.
    Audit Scan Report: следующие пользователив AD: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx и в SunONE: xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx принадлежат лицам не числящимися в базе данных HR как постоянные сотрудникм Устранить нарушение автоматически ? Yes No SAP “ “ЗАЧИСТКА” ДИРЕКТОРИЙ И РЕСУРСОВ ЗАЧИСТКА” ДИРЕКТОРИЙ И РЕСУРСОВ Политика 1: Только официальные сотрудники, внесенные в базу данных HR, могут иметь доступ к ресурсам Запускает сканирование всех ресурсов и пользователей Remediate Notify
  • 14.
    Мониторинг активности пользователяв течение определенного времени по всем доступным ему ИТ ресурсам ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ ЖУРНАЛ ПОСЕЩЕНИЙ РЕСУРСОВ
  • 15.
     Интеграция ссистемой оповещения Symantec Security Event Management Сервис “Identity for Сервис “Identity for SEM” SEM”  Срочное блокирование доступа пользователя при грубых (по заранее введенным критериям) нарушениях правил Интеграция с Интеграция с системами системами мониторинга доступа мониторинга доступа  Преконфигурированные отчеты по аудиту (SOX), требуемые законодательно  Настроенные отчеты (по внутреннему корпоративному кодексу) Отчеты о Отчеты о нарушениях нарушениях  Суммарные сводные отчеты о нарушениях  Гибкое конфигурирование(фильтрование) нарушений: по политике, по ресурсам, по департаментам, пользователям и т.д. Суммарные отчеты Суммарные отчеты высокого уровня высокого уровня  Авто-скан ресурсов: регулярный автоматический (по расписанию) или по особому случаю  Автоматическое определение нарушений, извещение о них и устранение нарушений Гибкое Гибкое о обнаружение бнаружение нарушения нарушения выполнения политик выполнения политик  Преконфигурированные /best practices/ наиболее часто используемые политики контроля  Кастомизированные политики Политики ИТ- Политики ИТ- безопасности и безопасности и аудита аудита Описание Функция Функция IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ IDENTITY AUDITOR: ОПЕРАТИВНЫЙ КОНТРОЛЬ
  • 16.
    Portal, Apps, WebServices Managed Resource LDAP Directory Provisioning Transaction Manager Pluggable Audit Event Tracking SPML RDBMS store for auditing and transactions SPE Users, Configuration & Tracked Event Data User Server LDAP Delegated Admin SPE Dashboard SPE Configuration Web Interface Workflow Engine Sync Engine Admin Server IDM Repository SPML Approval Requests View Tracked Event Data SPE Delegated Admins SPE Configuration Backup IDM Workflow Tasks, Forms, Rules SPE Context API Provisioning / Sync Transactions Agent-less Connectivity to target Systems SPE Context API Identity Manager SPE Управление учетными записями миллионов внешних пользователей Sun Identity Management - Service Provider Edition Поставлятся как стандартный функционал Sun IdM 7/8
  • 17.
    <1000 1000- 2500 2500- 5000 5000- 10000 10000- 25000 25000- 50000 50000- 100000 100000- 300000 300000- 500000 >500000 0 0.05 0.1 0.15 0.2 0.25 0.3 0.35 ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬИ ПРОИЗВОДИТЕЛЬНОСТЬ: ДОКАЗАННАЯ МАСШТАБИРУЕМОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ: >500000 Employees Самая большая система в продуктиве- 600 тысяч пользователей 1000 Систем в эксплуатации и 14 миллионов идентичностей под контролем 75% всех систем – в больших и средних компаниях
  • 18.
    ПЕРВАЯ ПЕРВАЯ СИСТЕМА ВРОССИИ: СИСТЕМА В РОССИИ: 16 тысяч пoльзoвателей
  • 19.
    Ресурсы внутреннего Ресурсы внутреннего контура контура Программныйкомплекс защищенного Программный комплекс защищенного терминального доступа терминального доступа Терминальные рабочие места Терминальные рабочие места HR DATABASE ПЕРСОНАЛЬНЫЕ ПЕРСОНАЛЬНЫЕ И И “CONFIDENTIAL” “CONFIDENTIAL” ДАННЫЕ ДАННЫЕ Внешние ресурсы Внешние ресурсы Интернет Интернет
  • 20.
    Рабочее место Windows •Полноценная работа с Windows • Удаленное управление сессиями на Windows • Доступ к своей сессии с разных Sun Ray • Лицензированный клиент RDP CВЕРХ-ТОНКИЙ КЛИЕНТ
  • 21.
    Сеть “B” Сеть А ПЕРСОНАЛЬНЫЕ ДАННЫЕ Сеть C СетьD Сеть “A” Сеть “C” Сеть “D” Безопасный доступ к приложениям (Secure Network Access Platform, SNAP) При помощи Trusted Solaris, возможен доступ к сетям с различным уровнем секретности CВЕРХ-ТОНКИЙ КЛИЕНТ
  • 22.
    Solaris 10 TrustedExtensions Мандатный контроль доступа и действий по степеням грифов объектов SEGREGATION OF DUTIES Обычная Новости Музыка Чаты Solaris 10 или Trusted Extensions Бизнес- иерархия Персональ- ные данные Совет директоров Вице- президенты Управляющие Trusted Extensions Гос.иерархия Сов.секретно секретно Персональные данные ДСП Trusted Extensions • Все объекты могут различаться по степени важности, в том числе -”персональные данные” • Доступ и действия регулируются по иерархическим отношением грифов
  • 23.
    Тотальный контроль действий ЗАГОЛОВОК'Restricted' ЗАГОЛОВОК 'Internal' Попытки копирования секретной (или персональной) информации в несекретный файл пресекаются Не допускается передача информации по почте
  • 24.
    Работа с различными периферийнымиустройствами USB HID ● Клавиатуры ● Мыши ● Сканеры штрих-кодов ● Считыватели магнитных карт USB Принтеры ● USB Принтеры (Post Script) ● Другие принтеры при помощи Ghostscript/ Vividata SW Специфичные устройства ● USB Сканеры (SANE) ● USB фотокамеры (gPhoto) ● Serial принтеры ● USB биометрические сканеры ● USB/Serial кассовая/банковская периферия Open Source драйвера через LIBUSB API USB MASS STORAGE ● Внешний HDD ● Zip Drive ● Flash диск C ЗАПРЕТОМ / КОНТРОЛЕМ КОПИРОВАНИЯ ПЕРСОНАЛЬНЫХ И СЕКРЕТНЫХ ДАННЫХ
  • 25.
    2007 ГОД- НОВОЕFRAMEWORK ОЕМ – СОГЛАШЕНИЕ с компанией Свемел: 1. Предоставлены исходные коды SOLARIS 10+TRUSTED EXTENTION для SPARC и x86 архитектур 2. РАСШИРЕН СПИСОК Source Codes ДЛЯ разработки “Derivatives”, ОЕМ –СБОРКИ, СЕРТИФИКАЦИИ И РАСПРОСТРАНЕНИЯ
  • 26.
    «Доверенная операционная система «Довереннаяоперационная система «Циркон» «Циркон» (на базе ОС (на базе ОС Trusted Solaris Trusted Solaris 8) 8) производимая «Свемел» получила производимая «Свемел» получила сертификат соответствия ФСТЭК сертификат соответствия ФСТЭК России № 1303 от 20 декабря 2006 России № 1303 от 20 декабря 2006 года. года. Это означает, что на основе Это означает, что на основе доверенной операционной среды доверенной операционной среды «Циркон» возможно создание «Циркон» возможно создание защищенных автоматизированных защищенных автоматизированных систем для обработки информации систем для обработки информации содержащей конфиденциальные содержащей конфиденциальные сведения. сведения. Технология Технология Trusted Solaris 8 Trusted Solaris 8 + + Sun Ray Sun Ray - - российская ОЕМ- российская ОЕМ- версия версия
  • 27.
  • 28.

Editor's Notes

  • #20 Secure, low cost, high performance Windows desktop Microsoft Windows Terminal Services compatibility Licensed Microsoft Remote Desktop Protocol 5.2 specification for Windows terminal services. Commercial grade implementation, not reversed engineered
  • #21 The Sun Secure Network Access Platform (SNAP) is a solution designed by Sun to provide a high security environment for government agencies handling classified information, it can be also be applied in commercial settings. The Sun Secure Network Access Platform enables the delivery of multiple networks securely to a single desktop. To ensure networks remain segregated, connections between domain networks are only permitted under exceptional circumstances. Historically, this has forced many government organizations to deploy separate PCs or terminals on user desktops to access information on multiple compartmentalized networks. These constraints have been significant impediments to information sharing, internal collaboration, and agility in responding to changing situations and evolving requirements. The Sun Secure Network Access Platform enables multiple networks to be made available to users while supporting varying degrees of classification. This is made possible through the management of user access privileges that grant qualified users access to specific networks and display content on Sun Ray devices. The SNAP solution provides firewalled multi-domain access from a single Sun Ray client. Sun Ray Server Software running on the Trusted Solaris? 8 Operating System?a hardened version of the Solaris OS that implements several security enhancements is the core of the Sun Secure Network Access Platform. In this architecture, the Trusted Solaris 8 OS maintains isolation between multiple compartmentalized networks connected to a Sun Ray server while use of Sun Ray clients provides for information security at the desktop level. Because Sun Ray devices are stateless, traditional buffering and caching techniques that present an information disclosure risk are not a concern.
  • #22 The left box is a typical Government like setup, Top Secret can read the data down to Secret, etc... The right box could be useful in a xSP environment, where every customer stays in it's own Label or 'Security Cloud' the goal is that the customers don't know of each others existence on a consolidated server NOTE: It could also be a mixed setup, hierarchical and non-hierarchical e.g. Secret can read Confidential but CAN'T Unclassified it could serve pretty much all possible scenarios There are NO limitations in terms of numbers of Labels and range, well, the actual limitation is 2240
  • #23 So, I want to show you an example of some of the screen snapshots from Trusted Extensions. So here you see an example of a brand new multi-level interface that we are providing. There are two multi-level interfaces provided in Trusted Extensions. One is based on Trusted CDE, Common Desktop Environment. The other is based on Trusted Java Desktop system, which is a GNOME 2.6 interface. So here you’re seeing an example of the Trusted Java Desktop system. You can tell that each one of the windows actually carries a label at the top of it. So you can see “Trusted Path” on one of the windows, “Confidential: Restricted” on the other, and “Confidential:Internal Use Only” on the third. In this situation, you’re seeing an attempt to take data from “Confidential : Restricted” and move it into the “Internal Use Only” window. And, in fact, that’s not allowed. Moving data between different labels, by default, is not normally allowed unless we have proper authorization. In this case, this would be a violation. This would be downgrading of information. You’re taking private restricted data and moving it to a lower classification label. You can actually see that a window pops up and says, you’re not allowed to do this. At least it let’s you know that you’re not allowed to do it. And then it allows you to examine what it is that you were trying to do. Now, of course, if you have appropriate authorizations, you are allowed to move data only if it is in compliance with our mandatory access control policy.