- •Многоуровневая защита корпоративных информационных систем
- •Принципы многоуровневой защиты корпоративной информации
- •Корпоративная информационная система с традиционной структурой
- •Функции уровней защиты
- •Защита управления приложениями
- •Защита системы сетей
- •Защита конечных пользователей
- •Системы облачных вычислений
- •История и эволюция облачных вычислений
- •Модель эволюции облачных вычислений
- •Концепция вычисления в «облаке»
- •Типы моделей «облачных» вычислений
- •Архитектура облачных сервисов
- •Основные характеристики «облачных» вычислений
- •Масштабируемость
- •Эластичность
- •Мультитенантность
- •Оплата за использование
- •Самообслуживание
- •Концепция архитектуры «облачной» системы
- •Преимущества облачных вычислений
- •Недостатки облачных вычислений
- •Стандарты облачных вычислений
- •Обзор платформ облачных вычислений
- •Многоуровневый подход к обеспечению информационной безопасности кис
- •Подсистемы информационной безопасности традиционных кис
- •Подсистема криптографической защиты
- •Подсистема управления идентификацией и доступом
- •Подсистема обеспечения безопасности коммутируемой инфраструктуры и беспроводных сетей
- •Подсистема управления средствами защиты информации
- •Подсистема контроля использования информационных ресурсов
- •Подсистема межсетевого экранирования
- •Подсистема обнаружения и предотвращения вторжений
- •Подсистема защиты от вредоносных программ и спама
- •Подсистема контроля эффективности защиты информации
- •Подсистема мониторинга и управления инцидентами иб
Подсистема управления идентификацией и доступом
С ростом числа пользователей информационной системы и числа прикладных систем и сервисов, к которым они должны получать доступ, увеличиваются затраты на администрирование учетных записей пользователей и управление правами доступа к системам и сервисам. Подсистема управления идентификацией и доступом предназначена для повышения безопасности корпоративных приложений и сервисов и снижения затрат на администрирование пользователей в разнородных приложениях и операционных системах.
Подсистема управления идентификацией и доступом строится на основе:
служб каталогов;
систем централизованного управления учетными записями и правами доступа;
средств однократной аутентификации;
средств двухфакторной аутентификации.
При создании учетной записи пользователя в центральной системе (служба каталога, кадровая система и т. п.) подсистема управления идентификацией и доступом производит автоматическую трансформацию записи в идентификационные записи в целевых системах согласно политикам управления. Такой подход позволяет реализовать модель ролевого управления пользователями, которые автоматически получают необходимые им права на ресурсы в соответствии с должностными обязанностями, определенными через включение их is соответствующие ролевые группы. Альтернативой системе централизованного управления учетными записями и правами доступа выступают системы однократной аутентификации (Single Sign-On).
Использование подсистемы управления идентификацией и доступом позволяет автоматизировать процессы, связанные с созданием, администрированием, удалением учетных записей, предоставлением доступа к ресурсам и управлением правами в разнородных операционных системах, службах каталогов и приложениях.
Подсистема обеспечения безопасности коммутируемой инфраструктуры и беспроводных сетей
Подсистема обеспечения безопасности коммутируемой инфраструктуры и беспроводных сетей основывается на применении технологий контроля и защиты сетевого доступа NAC, 802.lx, VLAN.
Технология трансляции сетевых адресов NAC (Network Address Translation) позволяет контролировать и проверять на соответствие политике информационной безопасности любой компьютер, подключающийся к корпоративной сети, стационарный или мобильный компьютер, получающий доступ через локальную или глобальную сеть, через проводное или беспроводное подключение, выделенное или коммутируемое соединение.
Проверка подлинности IEEE 802.lx представляет собой механизм контроля доступа на основе портов, который можно настроить на выполнение взаимной проверки подлинности между клиентами и сетью. После реализации такой настройки любое устройство, которому не удалось пройти проверку подлинности, не сможет участвовать ни в каком взаимодействии с выбранной сетью. Данная технология позволяет отказаться от применения статических ключей шифрования WEP (Wireless Equivalent Privacy).
Помимо генерации и распределения динамических ключей шифрования, стандартом IEEE 802.lx предусмотрены регулярное изменение сеансовых ключей и мониторинг сетевого доступа (с целью учета использования сетевых ресурсов). По данному стандарту управление доступом осуществляется на основе идентификаторов (user паше) и паролей пользователей или их цифровых сертификатов. Средства IEEE 802.lx совместимы с существующими системами аутентификации.