Менеджер идентификации в линейке «ИВК Юпитер»
Компания ИВК завершила разработку и комплексное тестирование программного продукта «ИВК Юпитер. Identity Manager», предназначенного для управления идентификацией должностных лиц при работе с прикладным ПО в территориально распределенных автоматизированных вычислительных системах (АИС), построенных на базе ПО промежуточного слоя «ИВК Юпитер».
В современных территориально распределенных ИТ-системах любое должностное лицо организации в большинстве случаев имеет дело с множеством прикладных программ, каждая из которых предоставляет лишь часть необходимых ему функций. В то же время пользователи большинства программ имеют разные должностные обязанности и полномочия при работе с информацией, что требует ограничить доступ конкретного пользователя к части функций прикладной программы. Для этого в прикладное ПО встраивают собственные подсистемы идентификации и разграничения доступа, причем обычно у разных прикладных программ такие системы слабо интегрированы с друг с другом и с аналогичными системами инфраструктурного уровня: СУБД, ОС, серверами Интернет/интранет и т. д. Ситуация дополнительно осложняется тем, что в крупной территориально распределенной ИС параллельно могут существовать версии прикладного и инфраструктурного ПО, созданные в разное время с использованием различных архитектурных подходов и технологий защиты информации. Более того, для целого ряда организаций значительную ценность составляют унаследованные системы, в которых никакие изменения невозможны по определению.
Для пользователя все это разнообразие оборачивается необходимостью независимо регистрироваться в каждом приложении, вводя логин и пароль или предъявляя ключевую информацию. Работая с десятками программ, пользователь не может помнить все учетные данные и часто записывают пароли «на бумажке», что перечеркивает все усилия по выстраиванию системы информационной безопасности. Для администратора управление учетными записями сотен пользователей, работающих с десятками программ, – это исключительно трудоемкая и чреватая ошибками работа, которую приходится многократно повторять: при изменении статуса и должностных обязанностей пользователя, политик безопасности, версий ПО. Для решения этой проблемы существует особый класс ПО – менеджеры идентификации (Identity Management, или IM), к которому относится и система «ИВК Юпитер. Identity Manager».
Менеджер идентификации ИВК отвечает за централизованное хранение и управление учетными записями всех пользователей во всех прикладных программах информационной системы. Для пользователя система «ИВК Юпитер. Identity Manager» становится единой точкой входа в автоматизированную систему, открывающей ему после ввода единственного логина и пароля доступ ко всем разрешенным информационным ресурсам и функциям. Администратору система предоставляет унифицированные средства безопасного централизованного хранения, корректировки и распространения в территориально распределенной ИТ-системе всей учетной информации уровня приложений, поддержки для каждого пользователя необходимых корреляций контекстов безопасности в различных прикладных и инфраструктурных программах. Наконец, разработчики прикладного ПО и службы, отвечающие за его сопровождение, получают средства интеграции подсистемы безопасности с системой «ИВК Юпитер. Identity Manager». Предусмотрены три варианта такой интеграции. Так, наиболее полную интеграцию с традиционным прикладным ПО («толстые» клиенты) обеспечивает интерфейс API для наиболее распространенных языков программирования (C/C++, Java и т.д.). Для подключения к системе идентификации Web-приложений («тонких» клиентов) предусмотрена передача идентификационных параметров через URL с использованием стандартных механизмов Basic Authentificftion и Form Autheticftion). Наконец, в случае унаследованных приложений используется технология эмуляции действий пользователя. Причем «ИВК Юпитер. Identity Manager» отвечает не только за хранение и передачу в прикладные программы идентификационной информации, но и за автоматическое отслеживание и закрытие сессий программ по завершении сеанса работы пользователя.
Менеджер идентификации представляет собой дополнительный модуль системы «ИВК Юпитер». В АИС, построенных на базе этого ПО класса middleware, данный модуль выполняет функции реализованного на седьмом уровне транспортной модели OSI/ISO сервера безопасности прикладного уровня, обеспечивающего идентификацию и разграничение доступа пользователей к приложениям и информационным ресурсам. При этом ПО «ИВК Юпитер. Identity Manager» опирается на стандартные гарантированные сервисы «ИВК Юпитер»: контроль целостности и подлинности ПО, защиту информации при передаче и хранении, унифицированный доступ к информации, журналирование и темпоральное версионирование информации и т.д. Эти сервисы, а также гарантированная доставка и логическая обработка данных в системе «ИВК Юпитер» распространяются и на учетную и ключевую информацию, что особенно важно при взаимодействии ИС с удостоверяющими центрами, сертификатами которых подписывается информация конкретных приложений, находящаяся в хранилищах «Юпитер» или передаваемая по информационной шине АИС. Идентичная реализация единой высокоуровневой модели безопасности «ИВК Юпитер» на всех поддерживаемых вычислительных платформах упрощает интеграцию подсистем ИБ уровня приложений с аналогичными средствами уровня ОС, сетевых ОС, каталогов (LDAP, Active Directory), СУБД, серверов Интернет/интранет и т. д. «ИВК Юпитер» выступает также как эффективная платформа для создания защищенной корпоративной сервисной шины – центрального элемента архитектуры Web-сервисов.
Технологии, встроенные в продукт «ИВК Юпитер. Identity Manager», уже более года интенсивно используются разработчиками ИВК при создании специализированных решений, пройдя всестороннюю проверку в автоматизированных системах различного назначения.