Управление безопасностью

Данные IT-Enterprise представляют наибольшую ценность для компаний, эксплуатирующих систему. Поэтому вопросы безопасного обращения с информацией – одно из самых важных мест в системе IT-Enterprise.

Трехуровневая архитектура. Выделены три уровня программного обеспечения:

• Уровень баз данных;
• Уровень серверов приложений;
• Уровень клиентских станций.

На каждом уровне используются собственные средства защиты.

Защита на уровне сети. Вся сеть разделена на сегменты:

• Внутреннее кольцо. Высокопроизводительная сеть. Во внутреннем кольце находятся сервер баз данных и сервера приложений. Между ними проложены гигабитные магистрали;
• Внешние подключения. Разнородные сети (как локальные, так и коммутируемые);
• Использование VPN для безопасного соединения через открытые каналы.

Взаимодействие между компьютерами разных сегментов проходит только по одному порту протокола TCP/IP.

Отсечение сетевого трафика . Защита серверов во внутреннем кольце обеспечивается отсечением всего прочего сетевого трафика (кроме взаимодействия по единственному порту) с помощью сетевых экранов.

 Защита сетевого трафика . Весь поток данных между клиентской рабочей станцией и сервером приложений шифруется криптографическими средствами. Таким образом, даже перехват сетевого трафика между удаленным клиентом и сервером приложений не дает злоумышленнику возможности получить доступ к данным.

Защита программного кода . Весь программный код сконцентрирован во внутреннем кольце. Пользователь не имеет возможности повредить или подменить программный код. Проведение обновлений системы доступно только администратору.

Запрет прямого доступа к данным

• Учетной записи пользователя в Windows поставлена в соответствие учетная запись в IT-Enterprise;
• Для доступа к SQL учетной записи пользователя в IT-Enerprise ставится логин в SQL Server, который пользователю неизвестен;
• Сервер приложений работает под собственной учетной записью, которая пользователю неизвестна.

Никто из пользователей IT-Enterprise не может обращаться или манипулировать данными системы с помощью сторонних средств (таких как SQL Query Analyzer, Management Studio и пр.)

Многоуровневая система защиты

• Защита на уровне SQL Server. Возможность назначения специальных прав доступа к различным таблицам для разных пользователей;
• Защита на уровне операционной системы. Назначение прав доступа к сетевым ресурсам, запрет доступа к ресурсам;
• Защита на уровне сервера приложений;
• Защита на уровне IT-Enterprise.

Защита на уровне IT-Enterprise

• Опосредованный доступ пользователей к данным и к функциям манипулирования данными;
• Доступ к IT-Enterprise только по учетной записи и паролю;
• Определение попыток взлома и блокировка нарушителей (MAC-адрес и логин Windows);
• Разделение пользователей на обычных пользователей и администраторов. Только администраторы имеют возможность настройки системной части, обновления ПО и т. п.

Параметризация

• Отнесение пользователя к одной или нескольким группам (ролям);
• Настройка для каждой группы пользователей (роли):
• Перечня доступных для работы модулей;
• Настройка каждой функции модуля для группы (роли);
• Параметризация режима работы функции для группы (роли).
• Доступ к функциям и расчетам по заданному расписанию для пользователей и групп;
• Создание специализированных модулей для групп;
• Создание произвольных меню, корректировка существующих меню, добавление и закрытие функций в меню по разным группам;
• Параметры пользователя. Задаются различные правила работы для разных пользователей. Настраивается доступ к тем или иным возможностям системы;
• Параметры группы (роли). Настраивается доступ и правила работы для разных групп;
• Параметры компьютера. Могут быть заданы правила работы в зависимости от компьютера – рабочего места, с которого пользователь работает с системой.

Аудит изменения данных . Все корректировки информации в системе авторизованы.

• Каждая строка каждой таблицы имеет атрибуты:
• Кто добавил строку;
• Дата и время добавления;
• Кто последний корректировал;
• Дата и время последней корректировки.
• Модуль «Аудит изменений базы данных». Для каждой таблицы может быть включен расширенный аудит добавления, корректировки любого показателя, удаления данных;
• Для каждого расчета, выполняемого в системе, можно задать журналирование и фиксацию параметров выполняемого расчета;
• Использование планировщика задач и конструктора рассылок. Для выполнения рутинных действий, регулярных проверок, рассылок сигнальных писем используются конструктор рассылок и планировщик задач.

Журналирование . В системе ведется множество журналов:

• Журнал работы пользователей. Фиксируется кто, когда зарегистрировался в системе, какую функции когда запустил, сколько проработал и т.п.;
• Журнал корректировок справочников. Фиксируются каскадные удаления и замены в таблицах по изменению глобальных справочников;
• Журнал событий системы. Задаются события, при наступлении которых выполняется запись в журнале. Все записи классифицируются по типу события. Наполнение журнала зависит от типа события;
• Журналы регистрации всех сбоев и некорректных завершений работ;
• Отчеты по анализу количества вводимой информации по пользователям и группам.

Мониторинг .

Реализован монитор работы пользователей. В каждый момент времени доступна информация, кто, с какого компьютера работает в системе, в какой функции, какую последнюю команду выполнил и множество другой полезной информации.

Windows-аутентификация . IT-Enterprise интегрировано с системой безопасности Windows. Пользователю достаточно один раз ввести свой логин и пароль в домене. Права работы в IT-Enterprise он получит на основании своей учетной записи Windows.

Экспертное заключение.

Посмотреть результаты эксперного заключения