1

<Insert Picture Here>

Решения Oracle в области управления идентификацией и доступом пользователей к различным информационным ресурсам компании

Артём ВоеводаСтарший консультант Oracle в Украине и Молдове

3

Стратегия Oracle

Решения Oracle в информационной безопасности

=

Технологии мирового уровня

+

Знание и учет национальной специфики

Опора на компании (партнеры Oracle), обладающие полномочиями по выполнению работ, связанных с обеспечением информационной безопасности

-Системные интеграторы

-Компании – разработчики программного обеспечения

-Центры компетенции по информационной безопасности

4

Концепция «Защищенное предприятие»

Интегрированная безопасность:• Информационная безопасность данных• Управление учетными записями и правами доступа

пользователей• Обеспечение совместимости с требованиями

законодательства• Обеспечение непрерывности бизнеса

5

Oracle: Oracle: Защищенное Защищенное предприятиепредприятие

6

Identity&Access Management

Обеспечение соответствия

законами нормативным

актам

Управление рисками

Обеспечениеконфиденциальности

данных

Снижение затрат

7

Где мы? Традиционная архитектура

ID пользователей для Аутентификации

& Авторизации

LDAP или СУБД

Приложение

LDAP или СУБД

Приложение

LDAP или СУБД

Приложение

LDAP или СУБД

Приложение

Администраторы

Низкий уровень безопасности и высокая стоимостьуправления:• Приложения разрозненны, их разработка сложна• Политики доступа не унифицированы,

пользователи имеют

излишние привилегии• Id данные пользователей дублируются, высокая трудоемкость администрирования, «мертвые души» • Аудит фрагментирован

Пользователи

ID пользователей для Аутентификации

& Авторизации

ID пользователей для Аутентификации

& Авторизации

ID пользователей для Аутентификации

& Авторизации

АдминистраторыАдминистраторыАдминистраторы

8

Что делать?Пора наводить порядок!

Пользователи

• Централизованное хранение и управление всеми Id данными пользователей

• Централизованное, основанное на политиках, управление авторизацией и аутентификацией

• Централизованный аудит, информация сохраняется в БД, анализ и отчетность по аудиту

• Однократная регистрация• Быстрая разработка и

внедрение приложений• Облегчение жизни

пользователямID пользователей для

Аутентификации & Авторизации

Администраторы Единые политики безопасности

Приложения ПриложенияПриложения Приложения

9

Продукты Oracle IAMS

Oracle Enterprise Manager for Identity ManagementOracle Enterprise Manager for Identity Management

УправлениеУправление

Oracle Identity & Access Management SuiteOracle Identity & Access Management Suite

Аудит и контроль соответствия требованиям ИБАудит и контроль соответствия требованиям ИБ

Контроль Контроль доступадоступа

СлужбыСлужбыкаталоговкаталогов

АдминистрированиеАдминистрированиеидентифик. данныхидентифик. данных

Oracle Access ManagerOracle Access Manager

Oracle Adaptive Oracle Adaptive Access ManagerAccess Manager

Oracle EnterpriseOracle EnterpriseSingle Sign-OnSingle Sign-On

Oracle Identity Oracle Identity FederationFederation

Oracle Web ServicesOracle Web ServicesManagerManager

Oracle Identity Manager Oracle Identity Manager (OIM)(OIM)

Oracle Role Management (ORM)Oracle Role Management (ORM)

Oracle Virtual DirectoryOracle Virtual Directory

Oracle Internet DirectoryOracle Internet Directory(with Directory (with Directory

IntegrationIntegration Platform)Platform)

10

Поддержка стандартов

•Identity Management Standards

• SAML XACML Liberty ID-FF

• SPML WS-Fed X.509, etc.•Security Standards

• XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP SHA-1 AES

Kerberos RADIUS•Platform and Integration Standards

• WSDL SOAP WSRP

• Oracle Jdeveloper JSR-115

• Oracle BPEL Designer JCP• Oracle TopLink and ADF

•Web Services Standards

• WS-Security WS-Policy WS-Fed WS-Trust

11

Поддерживаемые системы

Приложения

Каталоги

Сервера приложений / Web-сервера

Операционные системы

Средства коллективной работы

ACF-2 & TSS

Порталы

RACF

12

<Insert Picture Here>

Управление доступом

13

Oracle Access Manager

Packaged eBusiness AppsPackaged eBusiness Apps

Static HTML contentStatic HTML content

DMZ

UsersUsers

UsersUsers

LDAP Directory

Delegated Admins

Delegated Admins

Delegated Admins

Delegated Admins

App ServersApp Servers

ID Event Plug-inAPI

Secure Protocol over SSL

Secure Protocol over SSL

PortalsPortals

App ServerConnector

WebGate

WebGate

WebPass

Identity Server

Access Server

Single Sign-on to Enterprise Applications

LDAP over SSL

Web Server

Web Servers

Policy Manager API

Authz API

Authn API

Access Manager SDK

IdentityXMLAPI

14

Что дает Oracle Access Manager?

• Единая точка доступа к Web-ресурсам• Однократная аутентификация для Web-ресурсов• Интеграция с существующими системами защиты• Управление паролями• Risk-based authentication, защита от мошенничества

15

Oracle AdaptiveStrong Authenticator

• Взаимная аутентификация с помощью настраиваемых представлений

• Виртуальный аутентификатор защищает пароли, PINы и ответы на ключевые вопросы от перехвата с помощью журналирования, фишинга и программ оптического распознавания

• Случайное расположение аутентификатора на экране пользователя

16

Oracle Enterprise Single-Sign-On

User’s Desktop

Oracle eSSO Suite

Management Console

Directory, Domain, Database

Application Sign-On

User Auth

Biometrics

Token/ Smart card

PKI

Password

Windows

Web Sites

Extranet & Portal

Mainframes (OS390, AS400)

Java

Oracle eSSO Password

Reset

Oracle Identity Manager (OIM)

Oracle eSSO Authenticatio

n Manager

Oracle eSSO Kiosk

Manager

Oracle eSSO Logon

Manager

Oracle eSSO Provisioning

Gateway

17

Oracle Enterprise Single Sign-On

Базы данных

Сервера приложений

Mainframe

Unix

Web-серверы

Сервер политики единой точки входа

Сервераутентификации

Рабочие станции пользователей

WindowsАвтоматический вход

пароль

PKI

биометрия

смарт-карты

токены

18

Что дает Oracle Enterprise Single-Sign-On?

• Пользователю необходимо знать ОДИН пароль

• Пользователь вводит пароль ОДИН раз и получает доступ к необходимым ресурсам

• Интеграция со смарт-картами и токенами

• Готовая поддержка большинства приложений, быстрая интеграция с нестандартными приложениями

• Не требует изменений существующей ИТ- инфраструктуры

• Интегрируется с Oracle Identity Manager

19

<Insert Picture Here>

Управление учетными данными

Служба каталогов

Управление и аудит

20

Oracle Identity Manager

21

Основные возможности OIM

• Гибкое управление потоками работ и политиками доступа

• Согласование учетных данных • Отчетность и аудит

• автоматический сбор информации о пользователях (включая их текущие и прошлые привилегии доступа) и ресурсах (кто имеет или имел к ним доступ)

• хранить данные о действиях администраторов OIM • Аттестация

22

Основные возможности OIM• Самостоятельное управление с помощью панели веб-

администрирования позволяет конечным пользователям:• просматривать, контролировать и обновлять

данные собственных профилей (включая пароли) для ресурсов, управление которыми им разрешено

• проводить идентификацию пользователя с помощью настраиваемых вопросов

• запрашивать создание учетных записей и предоставление привилегий

• просматривать и утверждать поступившие запросы

• Делегированное администрирование • Поддержка целевых систем

23

Oracle Identity Manager

24

ЦЕЛЕВЫЕСИСТЕМЫ

ORACLEIDENTITY

MANAGER

ОБРАЗ РЕСУРСА

MS ADчленство

ОБРАЗРЕСУРСАORACLE

DBчленство

ОБРАЗ РЕСУРСА

еBSчленствороль Oracle

группаAD

полно-мочия

ин

фо

рм

аци

яо

ро

ля

х

ин

фо

рм

аци

я о

по

лн

ом

оч

ия

х

ин

фо

рм

аци

яо

гр

упп

ах

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

ак

ро

ля

м

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

ак

груп

пам

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

а к

по

лн

ом

оч

ия

м

ПОЛИТИКИ ДОСТУПА К ORACLE DB

ПОЛИТИКИ ДОСТУПА К MS AD

ПОЛИТИКИ ДОСТУПА К еBS

учетныезаписиMS AD ресурс

правадоступа

группаAD

членство

учетныезаписи

Oracle dB ресурс

правадоступа

роль Oracle

членство

учетныезаписи

eBS ресурс

правадоступа

полно-мочия

членство

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

ак

ро

ля

м

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

ак

груп

пам

созд

ани

е уч

ет-

ны

х за

пи

сей

пр

ив

язк

а к

по

лн

ом

оч

ия

м

глобальные учетные

записи OIM

РОЛИ В ОРГАНИЗАЦИИ(ГЛОБАЛЬНЫЕ ГРУППЫ)

членствоГЛОБАЛЬНЫЕ

ПОЛИТИКИ

Oracle Identity ManagerОТДЕЛ

КАДРОВ

25

Документооборот Oracle Identity Manager

Информационный ресурс

Управление персоналом

Руководитель сотрудника

Подразделение ИБIdentity

Management

Центр развития IAM

Информационная система HR

Системный администратор

Владелец информацион-ного ресурса

Сотрудник

Внесение сведений о сотруднике

Согласование

Выполнение задания

Задание на выполнение операции

Запрос

/ Сам

ообслуж

ивание

Запрос / Согласование

Согласование

Контроль и управление

26

Отказоустойчивость OIM

27

Что дает Oracle Identity Manager?

• Управление жизненным циклом ролей на основе бизнес-потребностей

• Управление ролевым доступом в соответствии с должностными обязанностями

• Разделение / делегирование полномочий• Управляющий документооборот • Контроль действий администраторов целевых систем• Отчетность (оперативная / историческая)• Выявление «сиротских» учетных записей • Самообслуживание пользователей• Проверка неизбыточности полномочий пользователей• Отказоустойчивая архитектура

28

Virtual Directory

29

Что дает Oracle Virtual Directory?

• Универсальное представление данных из различных источников в виде LDAP-каталога;

• Нет необходимости синхронизации данных между источниками

30

• Мониторинг сервисов с точки зрения пользователя

• Системный мониторинг (контроль SLA, KPI)

Service

London

Paris

Enterprise Manager

<Insert Picture Here>

Защита конфиденциальных документов. Oracle Information Rights Management

Артем ВоеводаСтарший консультант Oracle в Украине и Молдове

32

<Insert Picture Here>

Что такое и для чего нуженOracle Information Rights Management

33

Два типа информации:Структурированная и неструктурированная

Database

Data Mining

Business Intelligence

Структурированная –> 10-20% Неструктурированная –> 80-90%

Data Warehousing

Database

. . .

34

Oracle Information Rights Management (Унаследовано от Stellent/SealedMedia – Декабрь 2006)

Безопасность и контроль конфиденциальных документов в любом месте, где бы они не находились, внутри сети или за межсетевым экраном!

- Обширная инсталляционная база – более 1000 организаций - Используется в самых различных проектах в разных

областях

35

Обеспечение безопасности с помощью Information Rights Management

Безопасность и аудит работы с информацией, где бы она не находилась (information centric security)

- Только авторизованные пользователи могут открывать и модифицировать содержимое

Расширение безопасности за привычные рамки

- Online и offline использование

Централизованный отзыв доступа

Встроенная интеграция с Oracle UCM

• В реальности информация покидает привычные границы

• Безопасность является критичным фактором

• Сотрудники приходят и уходят

• Есть контракторы

• Использование аутсорсинга

• Соответствие меняющимся

требованиям

• Изменение бизнес-отношений

Зачем?

36

<Insert Picture Here>

Как работаетOracle Information Rights Management

37

Принципы работы Oracle IRM

Все документы шифруются (seal)

Ключи расшифровки находятся на сервере

Для доступа к ключам/серверу необходимо пройти аутентификацию

Клиентские приложения (MS Word, Adobe Acrobat Reader и т.д.) работают под управлением агента Oracle IRM, который гарантирует работу пользователя с документом в соответствии с его полномочиями

38

Как работает Oracle IRMУправление классификацией, правами и аудитом

Oracle IRM Standard Rights Model

АдминистраторБизнес-менеджер Аудит

Oracle IRM Management Console

АвторРедакторРецензент

Oracle IRM DesktopЗапечатывание иклассификация

документов и писем

Передача через email, web, file

shares, IM, USB, DVD, и т.д.

Читатель

Oracle IRM Desktop

Oracle IRM Server

Корпоративная аутентификация,службы каталогов, системы CRM и т.д.

Автоматическаясинхронизация

прав / аудит действийБезопасныйoffline cache

39

IRMServer

WebServer

SMTPServer

Журнал аудита

Contributor

Context Manager

Reader

IRM ManagementConsole

[ ]Unsealer

IRM Desktop

40

Пример использования Oracle IRMв корпоративной сети

IRM ManagementConsole

IRM Desktop

IRMServer

WebServer

Внешние пользователи

Внутренние пользователи и администраторыHTTP:80

HTTP:80

HTTP:80HTTPS 443

ODBC

SMTPServer

emailemail

Сеть общего пользования DMZ(демилитаризованная

зона)

Локальная сеть

IRM Desktop

FIREWALL

HTTP:80

HTTP:80HTTPS 443

FIREWALL

HTTP:80

email

email

High-availabilitydatabase

41

Oracle IRM: Поддержка приложений Microsoft Office 2000-2007 (Word, Excel, PowerPoint) Adobe Acrobat или Reader 6.0+ Email: Microsoft Outlook 2000-2007, Lotus Notes 6.5+ и Novell

GroupWise 6.5-7.0 Email: BlackBerry for Exchange and Domino, BES 4.1+ HTML и XML (Internet Explorer 6.0+) .TXT и .RTF документы GIF, JPEG и PNG TIFF и 2D CAD (требует соответствующих программ просмотра)

42

Oracle IRM на практикеЛёгкость использования

Создание и использование «запечатанных» документов из стандартных настольных приложений

Правая кнопка мышки «запечатать» из Windows Explorer

«Запечатывание и отправление» email из стандартных клиентских приложений

Автоматическая синхронизация прав для работы offline

44

IRM: Интеграция в инфраструктуруАутентификация Аутентификация на сервере Oracle IRM по имени и паролю Синхронизация с LDAP (Oracle IRM Directory Gateway):

• Microsoft LDAP• Sun ONE Directory Server• iPlanet• Lotus Notes Domino

Аутентификация через Web(Oracle IRM Web Service SDK с поддержкой SOAP/WSDL)

Интеграция в приложения (с помощью Oracle IRM API)Примеры: Автоматическое «запечатывание», встроенное в собственный

документооборот Автоматическое «запечатывание» и «распечатывание» файлов,

покидающих или попадающих в хранилище Временное «распечатывание» для полнотекстового индексирования

45

Oracle IRM: Криптографическая защита

Oracle Information Rights Management использует стандартные криптографические алгоритмы для:

Шифрования и цифровой подписи документов и электронных сообщений - «запечатывание». Обычно это повышает размер файла менее чем на 1%.

Защиты сетевых телекоммуникаций между сервером и агентами Oracle IRM

Для защиты прав доступа на агенте Oracle IRMДля работы с контрольными суммами

программных компонент Oracle IRM

46

IRM: Криптография и безопасность

Используются криптографические алгоритмы:Шифрование AES 128-бит для тел документовRSA 1024-бит для обмена ключами и цифровых подписейTiger Hash message digest для контрольных суммВ следующей версии – поддержка Microsoft CryptoAPI

Дополнительная защита:Низкоуровневый контроль вызовов функций OS Поддержка доверенных часовНезащищённая информация никогда не пишется на диск

47

<Insert Picture Here>

Как внедрять в корпоративной системе Oracle Information Rights Management

48

Контексты безопасности

Управление правами доступа сотен пользователей к тысячам документов непрактично

• Существенно управлять группами документов и пользователей

Контекст безопасности является определяющим• Наборы связанных документов• Люди и группы, которые используют эти документы• Роли, которые имеют пользователи на доступ к этой информации

Контекст безопасности основан на классификации по теме или уровне секретности

• Темы: Документы руководства, Проект «Моби-Дик», Объявления по компании

• Уровень секретности: Top Secret, Code Red, Level 1, 2, 3

49

Стандартные роли на доступ к информации

Oracle IRM определяет стандартный набор ролей

Роли могут быть связаны с отдельными пользователями, группами и контекстами (типами информации)

Oracle IRM определяет 4 административные роли:

50

Управление на основе классификации прав (корпоративное использование)

Oracle IRM управляет доступом к информации на основе:

• Существующих бизнес-процессов, таких как «Информационное табло»

• Существующих классификаций информации, таких как «Конфиденциально»

• Существующих ролей пользователей, таких как «Рецензент»

• Существующих групп пользователей в корпоративном каталоге, таких как «Бухгалтерия»

Oracle IRM позволяет легко внедрить криптографическую защиту в корпоративной системе

Теперь и конечные пользователи, и администраторы способны понимать и управлять всей системой!

Класс: «Информационное табло»

Класс: «Корпоративные объявления»

Руководитель

Начальникотдела кадров

Сотрудники

Documents

Health+SafetyIssues.sdoc

HR procedures.spdf

Sales pipeline.sxlsNew customers

RolesContributor

Reader

Reviewer

Print Edit

CommentOpen

Open

Open

Documents RolesContributor

Reader

Reviewer

Print Edit

CommentOpen

Open

OpenSales strategy Q3 Figures.sxls

2008 BusinessPlan.sppt

ACME competitivereview.sdoc

51

Oracle IRM: Стандартная модель прав

Сразу в базовой поставке есть«Стандартная модель прав»

•Это - Web-приложение – помощь администраторам IT и бизнес-подразделений в применении наилучших практик

•Шаблоны классификаций и ролей, уведомлений электронной почты, справочники и учебники

•Расширяемость с 50 до 100,000+ пользователей

52

Почему заказчики выбирают Oracle IRM

Oracle Information Rights Management предоставляет разумный компромисс между Безопасностью, Удобством использования, и Управляемостью

Безопасность• Документы и электронные письма остаются защищёнными: и неважно,

сколько сделано копий и где они• Доступ к документам протоколируется, а права доступа можно изъять в

любое время: даже для копий, покинувших организацию Удобство использования

• Так же легко, как и использование незащищённых документов и писем• Просто немного расширяются возможности обычных средств: Microsoft

Word, PowerPoint, Excel, Outlook, Lotus Notes, Adobe Reader, и т.д.• Нет необходимости в обновлении: поддерживаются текущие и

устаревшие операционные системы и приложения Управляемость

• Интуитивное, основанное на политиках корпоративное управление: миллионы документов и писем + тысячи пользователей

• Быстрое внедрение: легко масштабируется для использования в инфраструктуре любой организации