Программное обеспечение IBM Tivoli Access Manager позволяет вам объединить многочисленные комбинации паролей и идентификационных данных пользователей. Сведите к минимуму неудобства для пользователей и нагрузку на администраторов.
Обеспечьте неуклонное соблюдение политик безопасности с использованием ПО Tivoli Access Manager. Это решение интегрируется с широким спектром прикладных и web-pecypcoB — критически важных для бизнеса приложений, файлов, операционных платформ и данных, распределенных по всему вашему расширенному предприятию. Поэтому вы можете:
• управлять ростом и сложностью;
• удовлетворять оперативные потребности с использованием инструментов, которые учитывают актуальные на данный момент условия, влияющие на принятие решений о предоставлении доступа;
• исключать время и затраты на разработку и администрирование средств обеспечения безопасности в рамках каждого отдельного приложения;
• предоставлять вашим пользователям возможность однократной регистрации.
|
|
Основные особенности:
• позволяет быстро развертывать масштабируемую инфраструктуру электронного бизнеса с помощью приложений Java 2 Enterprise Edition, включая средства авторизации WebSphere Application Server, построенные на основе контейнерной архитектуры;
• обеспечивает поддержку защищенного сервера BEA WebLogic Server, Siebel 7, SAP, (mySAP.com и SAP Workplace} и других основных сред на базе web-технологий;
• позволяет повысить уровень взаимодействия с заказчиками с помощью средств унифицированного доступа и защищенного единого входа в систему (SSO);
• обеспечивает возможность развертывания единой архитектуры средств безопасности в нескольких порталах и web-при- ложениях, включая портлеты WebSphere Portal Server;
• предоставляет возможности администрирования с единой консоли, а также возможности самообслуживания и самостоятельной регистрации клиентов;
• позволяет максимально повысить эффективность работы системы за счет применения гибких архитектурных решений, включая масштабируемые проксисерверы, а также позволяет быстро установить агенты web-серверов;
• вследствие гибкости появившихся в данной версии возможностей IBM Tivoli Access Manager для электронного бизнеса в среде серверов Linux для zSeries обеспечивает повышенную степень защиты и производительности промышленных серверов;
предоставляет возможность выбора одного из нескольких ре- иений для выполнения регистрации, в том числе пакетных:редств IBM Secure Way Directory, iPlanet Directory Server, otus Domino Registry или Microsoft Active Directory.
Directory-Based User Managment and Security Services
оставщики |
Открытый Интернет |
Уровень защиты |
Сложные средства защиты |
Единый вход в систему |
Единая стратегия |
Единый реестр |
Демилитаризованная зона |
Брандмаур |
|
|
Бизнес логика |
Приложения клиентов |
Существующие приложения и данные |
Деловые партнеры и внешние службы |
Брондмауэр |
Защи щенная внутрення сеть
Архитектура Tivoli Access Manager for e-business
Высокая степень защиты инфраструктуры электронного эизнеса и имеющихся приложений
ешение IBM Tivoli Access Manager for e-business позволяет управлять расширяющимся набором сложных приложений и Web-peiue- ний, контролировать возрастающие расходы на управление таки-
ми решениями и обеспечивает возможность реализации стратегий защиты для данных приложений и web-решений.
Благодаря данному программному решению становится возможным управлять проводным и беспроводным доступом к приложениям и данным и устанавливать надежный барьер для пресечения несанкционированного доступа. IBM Tivoli Access Manager for e-business позволяет обеспечить возможность интеграции решений для электронного бизнеса и предоставить авторизованным пользователям защищенный, унифицированный и персонализированный доступ к приложениям и данным для электронного бизнеса. С помощью этого программного решения можно предоставлять защищенный доступ к основным приложениям и данным, расположенным в разных системах организации, а также обеспечивать высокую доступность и масштабируемость при выполнении транзакций с партнерами, заказчиками, поставщиками и сотрудниками.
Возможности Tivoli Access Manager for e-business позволяют применять на всех системах предприятия единую централизованную стратегию управления доступом, обеспечивая поддержку широкого набора приложений и управляемых ресурсов. На рисунке представлена стандартная реализация защиты на уровне проксисерве- ра, обеспечивающем возможность применения функций управления учетными записями пользователей и функций защиты на основе каталогов программного решения Tivoli Access Manager for e- business. При применении данной архитектуры web-агенты могут использоваться как в качестве замены для проксисервера, так и совместно с ним.
Модульная архитектура для упрощения работы
Модульная архитектура решения Tivoli Access Manager for e- business позволяет выполнять приложения независимо от процессов, обеспечивающих защиту системы. Благодаря этому ускоряется процесс развертывания инфраструктуры электронного бизнеса, поскольку такая архитектура позволяет изменять код приложений независимо от кода систем защиты, и наоборот. Раздельная архитектура также поддерживает скрытые средства защиты, в состав которых входят уровни защиты, такие, как демилитаризованная зона.
Решение Tivoli Access Manager for e-business позволяет снизить стоимость создания средств защиты для новых приложений, т.к. при его применении можно отказаться от создания сложных приложений для защиты системы. С помощью данного программного решения можно осуществлять интеграцию со всеми серверами web- приложений, поддерживающими средства защиты Java 2, JAAS и J2EE. Кроме того, адресная поддержка приложений IBM WebShpere Applicaton Server и BEA WebLogic Server, построенная на основе технологии J2EE, позволяет отказаться от выполнения таких нестандартных задач, как предварительные этапы компиляции. Централизованные службы идентификации и авторизации Tivoli Access Manager for e-business могут взаимодействовать с сервлетами и объектами EJB в целях упрощения программной модели, что позволяет повысить портативность и время развертывания.
Кроме служб Java 2 и API-идентификации согласно стандарту Open Group программное решение Tivoli Access. Manager for e- business поддерживает многие открытые промышленные стандарты, например:
• LDAP, позволяющий хранить данные о правах доступа пользователей и групп пользователей. Кроме того, поддерживаются также технологии идентификации пользователей IBM SecureWay Directory, iPlanet Directory Server, Microsoft Active Directory и Lotus Domino Directory;
|
|
• клиентские сертификаты X.509 версии 3 для строгой идентификации пользователей на Web-pecypcax. Поддерживаются также многие поставщики сертификатов, в том числе Tivoli Public Key Infrastructure, VeriSign, Entrust и Baltimore;
• технологии для взаимной идентификации и взаимодействия конфиденциальных компонентов с помощью SSL.
Программное решение Tivoli Access Manager for e-business является открытым и построено на основе общепринятых стандартов. Кроме того, IBM Tivoli Access Manager for e-business поддерживает широкие возможности интеграции с программно-аппаратными системами строгой идентификации, которые, в свою очередь, могут ре- ализовывать решения для использования электронно-цифровой подписи в бизнес-процессах. В этом случае для безопасного хранения закрытых ключей и пользовательских сертификатов рекомендуется использовать защищенные отчуждаемые носители — смарт-карты или USB-токены. При этом все криптографические операции выполняются внутри смарт-карты или токена и секретный ключ сертификата никогда не «выходит наружу» и не может быть перехвачен. Одним из таких программно-аппаратных решений, имеющим сертификат совместимости с IBM Tivoli Access Manager for e-Business, является eToken производства компании Aladdin.
Интеграция с IBM Tivoli Identity Manager позволяет последнему централизованно управпять учетными записями и правами доступа пользователей к ресурсам, защищаемым Tivoli Access Manager for e-business, а интеграция с IBM Tivoli Risk Manager — оперативно получать на консоли оператора системы безопасности информацию о подозрительных событиях и угрозах инфраструктуре Tivoli Access Manager for e-business.
IBM Tivoli Directory Integrator
Интегрирование идентификационных параметров для мобилизации всех возможностей инфраструктуры электронного бизнеса
Получите единый взгляд на все идентификационные данные пользователей благодаря открытому, гибкому решению IBM для синхронизации каталогов. IBM Tivoli Directory Integrator обеспечивает интеграцию с более чем 70 источниками идентификационных данных, включая:
• каталоги отдела управления кадрами;
|
|
• базы данных систем управления взаимодействием с клиентами;
• системы электронной почты и другие приложения;
• хранилища идентификационных данных;
• управляемые системы.
Вместо того чтобы создавать новое централизованное хранилище данных, вы можете обеспечить согласование данных в пределах существующей инфраструктуры. Это программное обеспечение является гибко настраиваемым слоем синхронизации между источниками идентификационных данных и вашей структурой управления идентификационной информацией.
Основные характеристики:
• объединение идентификационных параметров, содержащихся в каталогах, базах данных, системах коллективной работы, программах кадрового учета, системах управления отношениями с клиентами (CRM), планирования ресурсов предприятий (ERP) и других корпоративных приложениях в разнородных вычислительных средах;
• открытая Jova-архитектура, встраиваемая в разнообразные клиентские среды с минимальными усилиями;
• открытая для синхронизации архитектура, не требующая специализированных хранилищ данных в отличие от других ведущих решений;
• интеллектуальные многонаправленные маршруты данных, так называемые AssemblyLines, включающие множество источников и получателей данных и помогающие развертыванию и расширению системы;
• графический пользовательский интерфейс, упрощающий разработку, обслуживание и поддержку интегрированной инфраструктуры идентификации на предприятии;
• распространение интеграции каталогов предприятия на операционную среду Linux;
• управляемый внешними событиями механизм, обеспечивающий взаимную интеграцию с системами других предприятий;
• удобная среда построения коннекторов и набор встроенных коннекторов и механизмов обработки событий, быстро интегрируемых практически с любыми приложениями или каталогами;
• мощная поддержка для ПО IBM Tivoli ® Identity Manager и Tivoli Access Manager;
• минимизация числа составляющих инфраструктуры и ускорение циклов исполнения в результате расширения возможностей ПО IBM WebSphere® Application Server, WebSphere Commerce Suite и WebSphere Portal.
JDBC Connector |
Web Service Connector |
LDAP Connector |
JMS Connector |
IBM Tivoli Directory Integrator
Построение надежной инфраструктуры службы каталогов предприятия
Традиционные подходы к инфраструктуре каталогов сегодня уже не соответствуют растущему числу пользователей, подразделений и ресурсов предприятия. В каждом отделе компании устанавливаются собственные приложения, имеющие собственные специализированные каталоги, из-за чего общее количество отдельных каталогов может доходить до сотни. Эти разрозненные каталоги обычно содержат частично избыточную — или противоречивую — идентификационную информацию и не обеспечивают масштабирования и поддержания целостности данных, необходимых компаниям для внедрения решений, касающихся, например, безопасности, снабжения и у/еЬ-сервисов, на уровне всего предприятия. Для повышения своей конкурентоспособности и производительности компаниям необходимо сформировать заслуживающий доверия источник такой информации и синхронизировать отдельные каталоги, обеспечив согласования идентификационных данных во множестве информационных архивов (репозитариев).
ПО IBM Tivoli Directory Integrator представляет собой ядро реального времени, интегрирующее каталоги и другие объекты данных в информационных хранилищах на основе технологий IBM и других поставщиков. Его распределенной архитектуре не нужны жесткие централизованные базы данных, необходимые другим известным предложениям. Вместо этого IBM Tivoli Directory Integrator синхронизирует данные локальных хранилищ, что дает возможность местным отделам манипулировать данными, с которыми они лучше всего знакомы, пользуясь только инструментальными средствами, обеспечивающими им наивысшую производительность. Такой ме- такаталог с открытой архитектурой, обменивающийся информацией с приложениями или каталогами и синхронизирующий данные, помогает упорядочить работу бизнеса и внедрить самые передовые решения для web-сервисов.
Ключевой компонент инфраструктуры электронного бизнеса
Стройная организация каталога обеспечивает однозначность идентификации и предоставляет инфраструктуру данных для поддержки таких важнейших приложений для электронного бизнеса «по требованию», как web-сервисы, защита и аутентификация. Програм-мное обеспечение IBM Tivoli Directory Integrator закладывает прочную основу инфраструктуры электронного бизнеса, тесно интегрируясь с другим инфраструктурным ПО корпорации IBM, в том числе со связующим ПО IBM WebSphere, а также про- грам-мными средствами Tivoli для идентификации и защиты. -Его возможности интеграции данных дополняют возможности средств интеграции данных в составе IBM WebSphere, не дублируя их. Более того, при использовании совместно с IBM Tivoli Directory Server програм-мное обеспечение Direciory iniegrator создает инфраструктуру данных, позволяющую предприятиям немедленно повысив производительность обслуживания пользователей, работающих с такими решениями, как Tivoli Access Manager и Tivoli Identity Manager, для персонифицированных услуг, распределения ролей, делегирования администраторских задач и самообслуживания пользователей.
Характеристики | Преимущества |
Открытая архитектура | Java-плaтфopмa вписывается в самые разнообразные среды заказчиков без нарушения целостности и независимо от используемой сегодня операционной системы или службы каталогов |
Удобная среда разработки коннекторов | Простата интеграции практически с любым приложением или каталогом коннектора, а также наличие механизма обработки событий, позволяющего существенна сократить время создания каталога на уровне предприятия |
Масштабируемость | Масштабируемая гибкая архитектура, опирающаяся на распределенные хранилища данных, которая пользуется ресурсами более эффективно по сравнению с решениями, требующими централизации всех ресурсов |
Возможности ПО IBM Tivoli Directory Integrator
ПО IBM Directory Integrator связывает воедино данные, находящиеся в каталогах, базах данных, системах коллективной работы и приложениях, помогая вашему предприятию добиться большей универсальности, усилить защиту и расширить функциональность инфраструктуры. Динамическая синхронизирующая прослойка между структурами идентификации на уровне предприятия и приложений устраняет необходимость в промежуточном хранилище данных. Кроме того, для повышения надежности систем безопасности Directory Integrator выполняет критический анализ идентификационных параметров в каталоге. Среда разработки с открытой архитектурой на основе Java, позволяющая организовать синхронизацию и обмен информацией между множеством архивов, повышает функциональность решения.
Функциональность ПО IBM Tivoli Directory Integrator
ПО IBM Directory Integrator организует интеллектуальные потоки данных (AssemblyLines) в рамках поэтапной компонентной методологии, позволяющей ускорить развертывание и упростить расширение систем. Коннекторы и синтаксические анализаторы в составе Directory Integrator работают с разнообразными системами и многочисленными протоколами, а механизмы доступа могут быть конфигурированы и распространены на среду конкретного предприятия. Наконец, графический пользовательский интерфейс ПО Directory Integrator упрощает разработку, тестирование, запуск, эксплуатацию и поддержку интегрированной инфраструктуры идентификации на предприятии.
Интеграция данных и каталогов
ПО IBM Tivoli Directory Integrator поможет построить на вашем предприятии децентрализованную архитектуру каталогов с гибким распределенным внедрением. Приведенные ниже вопросы и ответы позволят вам лучше понять, какую пользу вашей среде может принести ПО Directory Integrator:
Какие возможности управления предоставляются?
В ПО IBM Tivoli Directory Integrator добавлено несколько новых компонент, упрощающих встраивание в среды с высокой готовностью. Так, ПО JMX Management Architecture (JMA) содержит обширную библиотеку прикладных программных интерфейсов управления (API), интерфейс управления JMX, консоль управления, работающую в среде браузера, и расширяемую архитектуру журналирова- ния, предназначенные для сопряжения с рядом систем сторонних компаний. Эта архитектура позволяет также администраторам конфигурировать системы, контролировать исполнение и запускать Directory Integrator для рассылки внешним приложениям извещений о наступлении событий в реальном времени.
Насколько это решение просто в применении?
Встроенный в IBM Tivoli Directory Integrator графический пользовательский интерфейс создает среду, в которой очень удобно работать и легко выполнять развертывание и интеграцию.
Создавая единое для всего предприятия пространство достоверных данных и обеспечивая целостность важной деловой информации, ПО IBM Directory Integrator обеспечивает надежную основу для развертывания web-сервисов. ПО Directory Integrator содержит программу Web Services Connector, предназначенную для объединения с новыми и существующими web-сервисами предприятия. Оно может также самостоятельно поддерживать web-сервисы, позволяя вашему предприятию представить бизнес-правила и содержимое существующих хранилищ информации в виде web-сервисов, к которым могут подключаться другие системы.
Решения, необходимые вашему предприятию
Хотите ли вы обеспечить защиту приложений своего предприятия или открываете доступ к внутренним процессам для торговых партнеров и клиентов, ПО IBM Directory Portfolio предоставляет мощное масштабируемое и защищенное решение для поддержки служб каталога, необходимое для полного контроля над данными предприятия. Комплекс решений IBM для служб каталогов включает ПО IBM Tivoli Directory Integralor, IBM Tivoli Directory Server и дополнительные службы каталогов и метакаталогов. Решение для метакаталога IBM Directory Integrator с открытой архитектурой синхронизирует информацию и управляет обменом между приложениями или источниками, значащимися в каталоге. Кроме того, IBM Directory Server служит основой для развертывания комплексных приложений управления идентификацией и перспективных программных архитектур.
IBM Восточная Европа/Азия
123317, Россия, Mockdo, Краснопресненская наб., 18 тел.: +7 (495) 775-8800, факс: +7 (495) 258-6468 ibm.com/ru
3. Аудит информационной безопасности
организаций и систем
ЭЛ. Правовые и методологические основы аудита информационной безопасности
3.2Л. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности
В мире существует не так много прямых 3.1.1.1. Предпосылки.
законодательных требований в области _________________ Вступление
информационной безопасности и аудита
информационной безопасности. Однако в большинстве стран действуют отраслевые регулятивные нормы, предписывающие внедрение мер по обеспечению безопасности, и разработаны руководства для осуществления контроля эффективности этих мер. Некоторые из них являются нормативами прямого действия, как, например, в отраслях с высоким уровнем регулирования по всему миру, в частности в сфере оказания финансовых услуг (включая банковские операции); другие возникают как результат требований к обеспечению защиты персональных данных клиентов, сотрудников и других заинтересованных в деятельности организаций лиц (сфера здравоохранения в США, Европейская директива о защите персональных данных).
Все большее применение средств автоматизации в обработке информации, приведшее к концентрации чувствительной для организаций и их клиентов информации, привлекло внимание законодателей в 80-х гг. прошлого века к данной ситуации, в первую очередь в странах с высокоразвитой экономикой. Одной из первых стран, разработавших законодательные акты в области конфиденциальности персональных данных, была Великобритания, где в 1984 г. был принят закон
о защите данных (Data Protection Act), который определил потребность в обеспечении информационной безопасности. Этот закон стимулировал разработку норм по обеспечению конфиденциальности во многих странах и оказал существенное влияние на то, каким образом организации внедряют и оценивают меры контроля в области информационной безопасности.
Недавними законодательными актами, ужесточающими требования в отношении корпоративного управления (например, закон Сарбейн- са—Оксли, принятый в США), организациям было предписано уделять больше внимания вопросам внутреннего контроля во всех сферах, включая информационные технологии и информационную безопасность. Совет директоров компании в настоящее время, отвечая за эффективность системы контроля операционной деятельности (в частности, предоставление и разделение полномочий), рассчитывает на соблюдение мер безопасности и контроля на всех уровнях: от операционных систем и баз данных до бизнес-приложений. Подобные законодательные акты предусматривают наличие мер контроля на уровне организации, включая оценку и мониторинг рисков, в том числе внутренний контроль и аудит системы контроля в области информационных технологий и безопасности. В результате многие организации используют всевозможные подходы к управлению правами пользователей как способ соответствовать комплексным и жестким требованиям закона Сарбейнса—Оксли в данной области.
В настоящем разделе рассматривается, каким образом международное законодательство и регулирование способствуют внедрению мер контроля в области информационной безопасности и аудита и как современные организации могут использовать уроки прошлого и рассматривать инвестиции в систему управления информационной безопасностью как часть общей системы корпоративного управления и обеспечения соответствия нормативным требованиям.
3.1.1.2. Информационная В идеальном мире каждая организация и безопасность — влияние каждый ее сотрудник организации долж- регулятивных норм ны понимать риски, связанные с инфор-
и законодательства______ мацией, и принимать соответствующие
меры для ее защиты в соответствии с той ценностью, которую она представляет, и в зависимости от того, каким угрозам подвержена и насколько уязвима. В идеальном мире не было
бы людей, стремящихся извлечь пользу из информации, полученной без разрешения! К сожалению, мы живем в совсем другом мире, и люди не всегда задумываются о том, какой информацией они владеют и что они должны сделать для ее защиты. Кроме того, есть люди, желающие ради собственной выгоды или просто шутки ради использовать плохо организованную систему безопасности и получить доступ к информации, не будучи на то уполномоченными.
Понимая эту проблему, законодательные и другие регулятивные органы продолжают разрабатывать законы и нормы в целях повышения уровня информационной безопасности и стимулировать организации к соответствующим действиям.
Большинство первоначально принятых 3.1.1.3. Примеры важных законодательных актов и регулятивных законодательных актов
норм в области информационной безо- и регулятивных норм
пасности относились к защите персональных данных, хранящихся в организациях. Так, целью закона о защите данных (Data Protection Act), принятого Великобританией в 1984 г., было побудить организации должным образом обеспечить защиту хранившихся у них персональных данных. В 1998 г. закон был усовершенствован в соответствии с новыми требованиями Европейского Союза к конфиденциальности персональной информации. Раздел закона, посвященный информационной безопасности, невелик, однако многие другие положения закона указывают на важность вопроса безопасности. Одним из важнейших результатов закона стало то, что организации начали задумываться о том, какой информацией они владеют, какая информация им необходима и как определить требования к информации (на основе ее классификации) с точки зрения безопасности.
В самом законе не содержатся требования о проведении регулярной проверки состояния информационной безопасности, однако в нем есть раздел, дающий Информационной инспекции (правительственному органу по защите информации) возможность оценивать уровень соответствия безопасности обработки персональных данных требованиям этого закона. Эта проверка производится по запросу контролера данных (лицо в организации, отвечающее за соответствие закону). Информационная инспекция издала руководство по проверке с деталями аудиторской программы, которая может быть использована организациями для самооценки соответствия или использована третьими лицами для проверки соответствия закону1.
Великобритания также одной из первых успешно ввела в действие закон относительно «ненадлежащего» использования технологий (The Computer Misuse Act). Этот закон, принятый в 1990 г., рассматривает три вида уголовных преступлений:
— неправомерный доступ к компьютерам (включая незаконное копирование программ);
— неправомерный доступ с целью совершить или способствовать совершению дальнейших правонарушений (таких, как кража и мошенничество);
— неправомерное изменение программного обеспечения (в том числе намеренное и неправомерное уничтожение программного обеспечения, баз данных или внедрение вирусов).
На первый взгляд может показаться, что этот закон мало влияет на деятельность организаций, если не считать чувство удовлетворенности от осознания того, что злоумышленники будут наказаны, однако на деле он имеет несколько очень важных для бизнеса положений. Для успешного судебного преследования в соответствии с этим законом организации необходимо иметь достаточное доказательство того, например, что доступ к информационным системам не был санкционирован. Человек должен осознавать, что не был уполномочен на доступ к системе, вследствие чего организации стали практиковать использование сообщения при входе в систему, что система предназначена только для авторизованных пользователей, а не приветствия типа «Welcome!» («Добро пожаловать!»). Кроме того, закон стимулировал организации четко определиться в части политики «приемлемого использования» информационных систем, то есть что можно, а что нельзя делать в данной области.
Есть немало примеров, когда физические лица не преследовались по суду в соответствии с этим законом из-за отсутствия надежных доказательств (например, журналов регистрации событий или аудиторских соответствующих лог-файлов) в информационных системах. Широкая известность подобных случаев побуждает организации в той мере, в которой это касается безопасности, внимательнее относиться
Данное руководство размещено на сайте Информационной инспекции www.informationcommis5ioner.gov.uk [34].
к тому, как и какая информация записывается в журналах регистрации, а также проводить регулярные проверки журналов регистрации событий в системах.
Одним из дискутируемых аспектов данного закона является понятие легитимности несанкционированного доступа к компьютерам. Под действие закона потенциально попадают сканирования на уязвимость системы защиты (или тесты на проникновение), проводимые сторонними консультантами (или собственным персоналом) в целях совершенствования системы информационной безопасности. В настоящее время обсуждаются предложенные поправки к закону, которые позволят расширить сферу его применения и включить в нее вопросы распространения и использования инструментария для тестирования системы безопасности для легитимных консультантов по безопасности.