Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Общее описание

Рутокен KeyBox это система, предназначенная для администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств). Она обеспечивает связь между учетными записями пользователей, средствами аутентификации, приложениями и регламентами ИБ (корпоративной политикой безопасности).

Функциональные возможности системы:

  • Управление жизненным циклом ключевых носителей  — от постановки на учет и ввода в эксплуатацию до вывода из эксплуатации и списания.
  • Управление информацией на ключевых носителях: генерация ключей, запись сертификатов, обновление данных.
  • Управление политиками PIN-кодов носителей.
  • Учет и контроль носителей с ключами и сертификатами, выпущенными сторонними удостоверяющими центрами.

Архитектура системы

Система состоит из базовых модулей, модулей интеграции и дополнительных функций.

К базовым модулям относятся:

  • Консоль администратора;
  • KeyBox сервер;
  • Card Monitor;
  • Хранилище;
  • Инструменты самообслуживания;
  • Журнал событий.

К модулям интеграции относятся:

  • Коннекторы к удостоверяющим центрам;
  • Коннекторы к каталогам пользователей;
  • Коннектор к принтеру смарт-карт;
  • Middleware;
  • API.

К дополнительным функциям относятся:

  • Журнал СКЗИ;
  • Клиентский агент.

Компоненты системы

Рутокен KeyBox состоит из серверной и клиентской части.

Компонентом серверной части является Rutoken Server, который состоит из веб-сервисов и вспомогательных утилит.

Веб-сервисы:

внедрения, управления и учета аппаратных средств аутентификации пользователей в масштабах предприятия. Рутокен KeyBox обеспечивает централизованное управление средствами аутентификации в течение всего жизненного цикла, ведет учет средств криптографической защиты информации и аудит их использования. Система также позволяет быстро и самостоятельно решать проблемы пользователей без обращения к администраторам, в том числе за пределами предприятия.

Задачи

Сокращение издержек компании на рутинные операции обслуживания PKI

  • Выпуск сертификатов. Рутокен KeyBox автоматически формирует список сертификатов для выпуска на основе механизма политик использования PKI. Все пользователи, подпадающие под действия одной политики получают идентичный набор настроек и сертификатов. Операции по созданию запросов на сертификаты, их выпуску и записи на ключевой носитель выполняется в автоматизированном режиме.

  • Рядовым пользователям системы предоставляется удобный кабинет самообслуживания, выполненный в формате веб-приложения. В этом кабинете пользователи, если им разрешено политикой, могут самостоятельно производить выпуск и обновление сертификатов, снижая нагрузку на департамент ИТ.

  • Рутокен KeyBox отправляет почтовые уведомления администраторам и пользователям на заданные события системы. Например, администратор и (или) пользователь получают уведомление о приближении окончания срока действия сертификата, что позволяет вовремя обновить сертификат и избежать простоев в работе.

  • Рутокен KeyBox позволяет производить разблокировку заблокированного носителя без визита пользователя к администратору. Такая разблокировка может быть выполнена до или после входа пользователя в операционную систему, а также с или без явного участия администратора.

  • Рутокен KeyBox предоставляет программный интерфейс (API) через который он интегрируется со сторонними системами. Такая интеграция расширяет возможности по автоматизации процессов использования сертификатов и ключевых носителей. Например, по событию из системы класса Identity Management Рутокен KeyBox администратор может отозвать сертификат уволенного сотрудника.

  • В состав Рутокен KeyBox входит электронный журнал учета средств криптографической защиты информации (СКЗИ), соответствующий приказу ФАПСИ №152. Используя этот журнал, сотрудники безопасности выполняют требования регуляторов в части учета средств криптографической защиты без применения бумажных носителей и ручного заполнения необходимых данных.

  • Учет сертификатов, выданных сторонними организациями. Если в организации применяются сертификаты, выданные сторонними (не собственными) удостоверяющими центрами, Рутокен KeyBox позволяет занести информацию о таких сертификатах в базу решения и своевременно напомнить администратору и пользователю о скором истечении таких сертификатов. Это позволяет избежать простоев в работе с банками и торговыми площадками.

Повышение общего уровня информационной безопасности

  • Централизованное применение политики PIN-кодов. При выпуске ключевого носителя на него записываются требования к PIN-коду: сложность, частота смены, глубина истории и другие, набор параметров зависит от модели устройства. Политики хранятся и распространяются централизованно, администраторам не нужно прописывать политики для каждого отдельного носителя.

  • Учет ключевых носителей. Каждое устройство (смарт-карта или USB-токен) закрепляется за ответственным сотрудником. Операции по выпуску или обновлению сертификатов на носителе могут выполнить администратор Рутокен KeyBox или сам пользователь (владелец устройства).

  • Своевременный отзыв сертификатов уволенных сотрудников. Для того, чтобы оперативно прекращать доступ уволенных сотрудников к информационным ресурсам компании, Рутокен KeyBox включает специализированный сервис, который с заданной периодичностью проверяет каталог пользователей и отзывает сертификаты у пользователей, отмеченных как уволенные.

  • Гибкая настройка прав на работу с системой. Рутокен KeyBox позволяет компаниям определить собственные роли безопасности с настраиваемым перечнем разрешенных операций. Это позволяет администраторам привести ролевую модель Рутокен KeyBox в соответствие с принятыми в компании бизнес-процессами.

  • Контроль использования ключевых носителей на ПК пользователей. Рутокен KeyBox позволяет компаниям отслеживать, какие носители и кем подключаются к компьютеру организации. Администратор может жестко закрепить ключевой носитель за пользователем или конкретным компьютером. Если система обнаружит несоответствие (например, носитель подключен в сессии нелегитимного пользователя или к неразрешенному компьютеру), ключевой носитель может быть заблокирован.

Структурная схема

Image Added

Компоненты системы

Рутокен KeyBox состоит из серверных и клиентских компонентов. В качестве средства хранения данных и настроек решения используется Active Directory, база данных Microsoft SQL или PostgreSQL. Расширение схемы Active Directory не требуется. 

Серверные компоненты

Рутокен KeyBox Server является серверным компонентом и включает в себя веб-приложения и вспомогательные утилиты.

Веб-приложения:

  • Management Console  Консоль управления для администраторов и операторов системы.
  • Self-Service  Сервис самообслуживания (личный кабинет) пользователя.
  • Remote Self-Service
  • Management Console  Консоль управления.
  • Self Service  Сервис самообслуживания.
  • Remote Self Service  Сервис удаленного обслуживания за пределами домена.
  • CredProvAPI  Сервис Сервис онлайн-разблокировки и выключения смарт-картустройств.ICMAPI 
  • API  Cервис API для управления жизненным циклом смарт-карт устройств (для интеграции со сторонним сторонними ПО).
  • MSCA Proxy  позволяет Позволяет запрашивать и записывать на устройства при помощи Рутокен KeyBox сертификаты со всех УЦсертификаты с Удостоверяющих Центров Microsoft Enterprise CA, находящихся за пределами того домена, в котором развернут Рутокен KeyBox.
  • Event Log Proxy  позволяет Позволяет записывать события со всех серверов Рутокен с нескольких серверов Рутокен KeyBox в единый журнал событий Windows.
  • Indeed Log Server  позволяет Позволяет записывать события со всех серверов Рутокен с нескольких серверов Рутокен KeyBox в единый журнал событий Windows или , базу данных Microsoft SQL или PostgreSQL, SysLog.
  • RutokenKeyBox CM Agent  Компонент  Сервисы клиентского агента для удаленного выполнения задач ( блокировки, разблокировкисброса PIN-кода пользователя, обновления содержимого устройства, очистки или инициализации устройства при его отзыве, смены PIN-кода администратора и т.п.) на устройствах пользователей.

Вспомогательные утилиты:

  • IndeedCM.Agent.Cert.Generator.exe – Утилита  Утилита для создания сертификатов клиентского агента.
  • IndeedCM.Persistence.AD.Cfg.exe – Утилита для создания хранилища данных в Active Directory.
  • IndeedCM.Persistence.KeyGen.exe – Утилита  Утилита для создания ключа шифрования базы данных системы.
  • IndeedCM.CertEnroll.MsCA.exe – Утилита для выпуска сертификата "Агент “Агент регистрации”.
  • IndeedCMRutokenKeyBox.CardMonitor.exe – Утилита  Служба мониторинга состояния смарт-картустройств.
  • IndeedCM.Unblock.exe – Утилита для разблокировки смарт-карт.
  • IndeedCM.RutokenKeyBox.Wizard.exe – Мастер настройки Рутокен KeyBox.
  • Storage.sql и Storage_Indices.sql – Скрипты наполнения базы данных Microsoft SQL Скрипт наполнения базы данных Microsoft SQL, используемой для хранения данных Рутокен KeyBox.
  • Storage-Postgre.sql Скрипт наполнения базы данных PostgreSQL, используемой для хранения данных Рутокен KeyBox.

Клиентская часть состоит из следующих компонентов:

...

Клиентские компоненты

...

RutokenKeyBox Middleware

 компонент, предоставляющий единый интерфейс остальным компонентам системы по управлению устройствами, подключенными к рабочей станции.

...

RutokenKeyBox Client Tools:

...

  • Credential Provider

...

...

  • компонент для разблокировки смарт-карт, используемых для аутентификации в операционной системе Windows, в офлайн и онлайн-режимах.

...

  • RutokenKeyBox Unblock

...

  •  компонент для разблокировки смарт-карт, которые не используются для входа в операционную систему.Indeed CM Agent — компонент

RutokenKeyBox Agent  клиентский агент для удаленного выполнения задач (блокировки

...

, сброса PIN-кода пользователя, обновления содержимого устройства, очистки или инициализации устройства при его отзыве, смены PIN-кода администратора

...

) на устройствах пользователей.

...

RutokenKeyBox Client Browser Extension

...

компонент для поддержки множественных сессий пользователей на терминальном сервере.