|
<< Click to Display Table of Contents >> Модель безопасности |
|
|
<< Click to Display Table of Contents >> Модель безопасности |
|
Directum RX обеспечивает надежную защиту корпоративной информации за счет грамотной архитектуры, соответствующей требованиям ФСТЭК России к защите информации от несанкционированного доступа. Ключевым аспектом модели безопасности платформы Sungero является использование трехзвенной архитектуры, при которой аутентификация и авторизация пользователей выполняется на веб-сервере. Таким образом клиентское приложение не имеет непосредственного доступа к данным, а для получения данных с сервера проводится дополнительная проверка прав доступа.
Клиентские приложения взаимодействуют с сервером по защищенному протоколу HTTPS.
Аутентификация – это проверка соответствия пользователя тому, за кого он пытается себя выдать. Проверка подлинности выполняется на основании совпадения идентификационной информации (имени и пароля), предъявленной пользователем, с эталонной информацией, хранящейся в системе. В системе поддерживаются: •аутентификация по паролю. При входе в систему у сотрудника запрашивается имя и пароль. Эти учетные данные хранятся в Directum RX, при этом пароль защищен от злоумышленников, так как в базе данных хранится только его хеш; •внешняя аутентификация. Учетные данные пользователя не хранятся в Directum RX, аутентификация выполняется сторонними средствами: с помощью службы каталогов Active Directory (AD) или внешнего провайдера, например, Active Directory Federation Services (ADFS), Keycloak, PingOne и др. Распространенный пример внешней аутентификации – Windows-аутентификация. К внешней аутентификации также относятся аутентификация через ЕСИА. При аутентификации по паролю для учетных записей можно настраивать сложность паролей и правила блокировки при неудачных попытках входа. Для этого используется справочник «Политики учетных записей». Кроме того, если система установлена локально, то можно настроить блокировку IP-адресов при многократном неудачном входе. Эти возможности помогают усилить меры по защите системы от взлома или неправомерного доступа при аутентификации. Для безопасной работы с сервисами Directum Ario в облаке также необходимо получить аутентификационный токен. |
Оповещение пользователя о времени последнего входа в систему
Оповещение о последнем входе пользователя в систему – это требование информационной безопасности. Оповещение позволяет сотруднику проверить, совпадают ли дата и время предыдущего входа, указанные в уведомлении, с реальными:
Если данные не совпадают, сотрудник определяет факт несанкционированного доступа к системе от его имени и сообщает об этом администратору. После проверки полученной от сотрудника информации администратор предпринимает стандартные меры для обеспечения информационной безопасности. Оповещение настраивается в конфигурационном файле config.yml. Чтобы включить оповещение, в секции SungeroWebServer в параметре PREVIOUS_LOGON_NOTIFICATION_ENABLED установите значение true. |
Авторизация и проверка прав доступа
Авторизация – это процесс проверки прав пользователя перед выполнением действий в системе. В отличие от аутентификации, авторизация проверяет не возможность доступа пользователя к системе, а возможность выполнения конкретных действий в системе. Возможности пользователя по выполнению действий в системе определяются правами доступа, которые ему назначены. Права на типы объектов настраиваются в списке «Права доступа на типы объектов», а также на панели «Управление разрешениями» в карточке пользователя, группы или роли. Также права могут быть выданы пользователю на конкретный объект. Типы прав представляют собой набор операций авторизации, который определяет, что можно или нельзя делать с объектом системы. Например, для записи справочника Сотрудники это может быть операция удаления, для типа документа «Договор» – операция создания нового документа. Итоговые права пользователя на конкретный объект определяются так: все разрешающие операции складываются и из них вычитаются запрещающие операции. Если права на объект переданы по замещению, то их приоритет ниже личных прав. Например, если у сотрудника есть права на изменение документа, а по замещению перешли права на просмотр, то сотрудник сможет редактировать документ. Права доступа пользователей проверяются при обращении к объекту с заданной операцией, например, при открытии документа, задачи, задания, отчета или записи справочника. |
Замещение позволяет передавать права доступа пользователя на время его отсутствия другому сотруднику компании. Например, когда сотрудник уходит в отпуск или уезжает в командировку, для него назначается замещающий. Замещение настраивается в справочнике «Замещения». Просматривать справочник могут все пользователи, создавать и изменять – администраторы. В системе также настроено автоматическое замещение: •руководитель нашей организации получает права доступа всех руководителей головных подразделений нашей организации; •руководитель подразделения получает права доступа всех сотрудников своего подразделения. Права, полученные по замещению, не отображаются на панели прав доступа. |
Лицензирование – это механизм, необходимый для защиты системы от нелегального использования. Для работы с Directum RX необходимо приобрести лицензии на использование системы. Если лицензия на модуль отсутствует или недействительна, то соответствующий модуль не отображается в проводнике Directum RX. Система заранее оповещает об истечении срока действия лицензии, по умолчанию за 14 дней. С помощью фонового процесса «Логирование информации о ключе лицензии» администратор может отслеживать информацию о текущем состоянии ключа лицензии, в том числе сообщения об ошибках и предупреждения. Например, фоновый процесс записывает в лог-файл информацию о приближении завершения срока действия ключа, об истечении срока действия, о попытках использования недействительных лицензий. По умолчанию фоновый процесс запускается один раз в день. |
Логирование – это процесс сбора и записи сообщений об ошибках, предупреждениях и информационных сообщениях, которые появляются во время работы системы. Сообщения записываются в журналы событий и лог-файлы. |
Ведение истории работы с объектами системы
В системе все действия пользователей над объектами записываются в историю. Благодаря этому повышается безопасность работы, так как легко отследить, кто и когда обращался к объекту, вносил изменения, получал права доступа и др. История доступна пользователям, у которых есть права на просмотр объекта. Посмотреть историю работы можно на закладке «История» в карточке любого объекта: документа, папки, задачи, задания, уведомления, справочника. Для удобного отслеживания действий на закладке есть возможности фильтрации и сортировки по всем столбцам, кроме столбца Комментарий. Например, если нужно найти пользователей, которые изменяли документ, достаточно отфильтровать историю по действию Изменение содержимого. Также в истории отображаются IP-адреса компьютеров, с которых работали пользователи. |
Дополнительная защита документов
В Directum RX доступом к документам можно управлять через механизм настройки прав. Однако в системе могут храниться документы с конфиденциальной информацией, например, договоры или проектные документы. Для дополнительной защиты таких документов от несанкционированного доступа со стороны сотрудников, администраторов, разработчиков и даже злоумышленников можно зашифровать документы и включить строгий доступ. Шифрование и строгий доступ можно использовать как по отдельности, так и вместе, чтобы обеспечить высокую степень защиты данных. При включенном совместном режиме содержимое документов хранится в зашифрованном виде на стороне серверной части, а внутри системы доступ к документу и настройка прав доступа ограничены. Типы документов, для которых доступны дополнительные меры защиты, определяет администратор. |
Работа в мобильных приложениях Directum RX
Чтобы обеспечить безопасность и сохранность информации, передаваемой в мобильные приложения Directum Solo или Directum Jazz, ознакомьтесь с механизмами ее защиты. |
| © Компания Directum, 2024 |
