Аладдин — ведущий российский вендор-разработчик, обеспечивающий построение безопасной ИТ-инфраструктуры
АЛАДДИН – ведущий российский разработчик и производитель ключевых компонентов для построения доверенной безопасной ИТ-инфраструктуры предприятий и защиты её главных информационных активов.
Компания работает на рынке с апреля 1995 г.
Продукты, решения и технологии компании стали лидерами в своих сегментах, а во многих крупных организациях и Федеральных структурах – стандартом де-факто.
Компания имеет все необходимые лицензии ФСТЭК, ФСБ и Минобороны России для проектирования, производства и поддержки СЗИ и СКЗИ, включая работу с гостайной, производство, поставку и поддержку продукции в рамках гособоронзаказа.
Большинство продуктов компании имеют сертификаты соответствия ФСТЭК, ФСБ, Минобороны России и могут использоваться при работе с гостайной со степенью секретности до "Совершенно Секретно".
С 2012 г. в компании внедрена система менеджмента качества продукции (СМК), ежегодно проводится внешний аудит, имеются соответствующие сертификаты ГОСТ Р ИСО 9001-2015 (ISO 9001:2015) и ГОСТ РВ 0015.002-2020 на соответствие требованиями российского военного стандарта, необходимые для участия в реализации гособоронзаказа.
Ключевые компетенции:
- Аутентификация
– Подготовлено 7 национальных стандартов по идентификации и аутентификации
(ГОСТ 58833-2020, ГОСТ Р 70262-2022)
– Выпущено учебное пособие "Аутентификация – теория и практика"
– Защищена докторская диссертация
- Доверенная загрузка и технология "стерилизации" импортных ARM-процессоров с TrustZone
- Разработка встраиваемых (embedded) Secure OS и криптографии для микроконтроллеров, смарт-карт, JavaCard
- Биометрическая идентификация и аутентификация по отпечаткам пальцев (Match On Card/Device)
- PKI для Linux и российских ОС
- Прозрачное шифрование на дисках, флеш-накопителях
- Защита баз данных и технология "оправославливания" зарубежных СУБД
- Аутентификация и электронная подпись для Secure Element (SE), USB-токенов, смарт-карт, IIoT-устройств, Web-порталов и эл. сервисов.
- Основа для построения корпоративной PKI
- Первый отечественный центр сертификации под Linux
- Полноценная замена Microsoft CA
- Соответствует задачам импортозамещения
- Поддержка сценариев миграции
- Удобный Web-интерфейс
- Интеграция в ИТ-инфраструктуру предприятия
- создание и функционирование корпоративной инфраструктуры открытых ключей (PKI);
- управление жизненным циклом цифровых сертификатов;
- объединение всех компонентов ИТ-инфраструктуры в единый домен безопасности, их аутентификацию и безопасное взаимодействие;
- обслуживание ключами и цифровыми сертификатами всех объектов и компонентов корпоративной инфраструктуры:
- контроллеров доменов;
- серверов, Web-серверов, эл. почты;
- роутеров, маршрутизаторов, межсетевых экранов, VDI, VPN, RDP-шлюзов;
- М2М, IIoT-устройств;
- рабочие места пользователей и других устройств;
- сотрудников предприятия;
- внешних пользователей.
- организацию точек распространения CRL, AIA и службы OCSP на (при помощи) отдельных компонентах «Центр валидации» из состава Aladdin Enterprise CA;
- резервное копирование и восстановление в соответствии с регламентами предприятия;
- механизм аудита и ведения журнала событий;
- построение доверенной безопасной ИТ-инфраструктуры на базе PKI в сложных гетерогенных, облачных и мультиарендных инфраструктурах с разделением ролей и полномочий.
- работать параллельно с действующим Microsoft CA;
- импортировать и использовать действующие шаблоны сертификатов Microsoft CA, создавать новые;
- одновременно работать c различными службами каталогов (как Windows, так и Linux):
- MS Active Directory, Samba DC, FreeIPA, ALD Pro.
- реализовать сегментацию корпоративной инфраструктуры и разделение полномочий между операторами Центра сертификации;
- интегрироваться с различными внешними системами через REST API:
- IdM, IAM, IGA, SIEM, JMS и др.
- обеспечить строгую двухфакторную аутентификацию (в т.ч. под Linux) для администраторов, а также внутренних и внешних пользователей информационной системы;
- использовать различные архитектуры аппаратных платформ, отечественные ОС, виртуальные среды.
- Государственный сектор
- Нефте-газовая промышленность
- Банковский сектор
- Энергетика
- Наука и образование
- Здравоохранение
- Промышленность и торговля
- Транспорт
- Связь и массовые коммуникации
и другие объекты КИИ, АСУ ТП и ИСПДн
- полностью отечественная среда функционирования;
- возможность построения иерархии PKI предприятия на базе систем управления доменами SambaDC, ALD Pro, FreeIPA, Microsoft AD;
- возможность организации идентификации и строгой аутентификации пользователей предприятия в гетерогенной среде совместно с клиентским ПО Aladdin SecurLogon и ключевыми носителями семейства JaCarta;
- интеграция с унаследованными системами для бесшовной миграции с решений западных вендоров, включение в существующую PKI, перенос шаблонов и настроек, подключение к существующему домену;
- распределение полномочий среди сегментов информационной системы;
- удобный Web-интерфейс для создания инфраструктуры открытых ключей, настройки, интеграции и мониторинга;
- помощь в проектировании инфраструктуры открытых ключей, проработка плана миграции;
- бесплатное обновление на новую версию с актуальной для вас функциональностью.
Корпоративный центр сертификации – основа (сердце) всей ИТ-инфраструктуры современной организации, работоспособности доменов безопасности, службы каталога, различных сервисов, аутентификации устройств, пользователей, приложений, основа доверенного взаимодействия всех объектов и компонентов.
Практически все ИТ-инфраструктуры в России построены на базе MS CA и на 100% зависят от его работоспособности.
В 2022 г. Microsoft ушла из России, приостановила продажи своих продуктов и услуг в стране, а затем прекратила сотрудничество с рядом организаций, а также закрыла несколько офисов. И хотя речь идет о постепенном уходе, пользователи уже столкнулись с его последствиями. Полноценных аналогов MS CA в Open Source проектах нет, коммерческие Enterprise-версии СА под Linux в Россию не поставляются.
- Обеспечивает возможность удалённого подключения к своему служебному компьютеру, ГИС, КИИ, АСУ ТП до 1-го класса защищённости, ИСПДн до 1-й категории
- Допускает обработку банковской, налоговой, врачебной, нотариальной, аудиторской и др. видов тайн и служебных сведений
- Даёт возможность использования личных компьютеров сотрудников
- Позволяет использовать электронную подпись
- Имеет сертификат ФСТЭК России
- Организация безопасной дистанционной работы сотрудников при использовании ими личных (или доступных для использования) средств вычислительной техники.
- Обеспечение безопасного удалённого доступа к своему служебному компьютеру (подключение и дистанционная работа):
-в государственных информационных системах (ГИС) до 1-го класса защищённости включительно;
-в информационных системах персональных данных (ИСПДн) до 1-й категории включительно;
-в информационных системах значимых объектов критической информационной инфраструктуры (КИИ) до 1-ой категории включительно;
-в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах до 1-го класса защищённости включительно;
-в медицинских (МИС), банковских (ИБС) и других информационных системах (ИС) общего пользования до II класса.
Aladdin LiveOffice может использоваться
- Для организации удалённого и/или смешанного режима работы, когда сотрудник часть времени работает на "удалёнке" (с использованием личного компьютера), а часть – в офисе (с использованием служебного компьютера).
- Для юридически значимого электронного документооборота в качестве средства формирования и проверки электронной подписи (УКЭП).
- Для строгой или усиленной двухфакторной аутентификации пользователей.
- При реализации требований по защите информации от несанкционированного доступа для автоматизированных систем (АС) классов защищённости 1Г, 1Д, 2Б, 3Б.
- При обработке служебной информации ограниченного распространения, включая:
- налоговую, банковскую, врачебную, нотариальную, аудиторскую, адвокатскую тайну;
- тайну страхования, связи, следствия и др.;
- секреты производства (ноу-хау);
- информацию о новых решениях и технических знаниях, экспертизах, кредитных историях, таможенных профилях и индикаторах рисков, пенсионных счетах и др.
Aladdin LiveOffice не позволяет
- Использовать устройство на чужом (неавторизованном) компьютере – все его функции, а также служебные и пользовательские данные будут недоступны, даже при вводе правильного пароля доступа.
- Скопировать или сохранить обрабатываемую служебную информацию на локальные, съёмные диски, флеш-накопители и другие устройства с функцией хранения информации.
- Распечатать обрабатываемую служебную информацию на локальном или сетевом принтере.
- Загрузить на свой компьютер какой-либо файл (возможно, заражённый) с внешнего носителя или из сети Интернет и передать его в ИС организации.
- Выйти в сеть Интернет при дистанционной работе напрямую со своего личного компьютера (сеть будет доступна только через служебный компьютер, а работа в сети защищена используемыми в организации средствами защиты).
- Получить доступ к сохранённым в памяти устройства служебным или пользовательским данным, а также использовать его для удалённого доступа в ИС организации в случае утери или кражи устройства.
Aladdin LiveOffice может администрироваться дистанционно с использованием системы централизованного управления JMS, которая автоматизирует большинство рутинных операций и позволяет обновлять пользовательские настройки, профили, цифровые сертификаты, ключи.
- Существенная (в 5-6 раз) экономия бюджета на организацию дистанционной работы за счёт возможности использования личных средств вычислительной техники сотрудников организации по сравнению с закупкой служебных ноутбуков и оснащением их набором средств защиты, необходимых для выполнения требований ФСТЭК России по реализации мер защиты при удалённом доступе.
- Возможность быстрого встраивания в существующую инфраструктуру с минимальными её изменениями, а также возможность кастомизации решения с учётом используемых платформ и средств.
- Сохранение всех привычек и навыков работы – при дистанционной работе пользователи работают в привычной им среде, с набором привычных приложений, все документы находятся в привычных местах – всё как при работе в офисе.
В состав системы входит производительный сервер усиленной аутентификации (2ФА) JaCarta Authentication Server (JAS) для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей какой-то части своих сотрудников.
Сертифицировано ФСТЭК России.
- Учитывает аппаратные и программные средства аутентификации и электронной подписи, автоматизирует процесс поэкземплярного учёта СКЗИ
- Управляет жизненным циклом токенов и программных средств аутентификации
- Полностью автоматизирует применение политик ИБ
- Предоставляет сервис самообслуживания
- Реализует сервис усиленной (2FA) аутентификации
- Обеспечивает высокую производительность, масштабируемость и отказоустойчивость
- Отслеживает действия пользователей и администраторов
- Входит в реестр отечественного ПО, соответствует требованиям регуляторов
Автоматизация учёта токенов JaCarta, Рутокен и ESMART, в том числе сертифицированных ФСБ России как СКЗИ или обладающих несколькими функциями. Учитываются владелец, номер, модель, а также объекты на токене и рабочие станции, использующие токены. Аналогичным образом учитываются "облачные токены" (КриптоПро DSS) и сертификаты, выпускаемые для личных хранилищ пользователей и рабочих станций. Также учитываются ридеры смарт-карт производства компании "Аладдин Р.Д."
Наряду с PKI-токенами JMS ведёт и учёт аппаратных OTP-\U2F- токенов, Messaging (SMS) аутентификаторов, а также программных OTP\PUSH аутентификаторов, реализованных с использованием разработанного "Аладдин Р.Д." мобильного приложения для двухфакторной аутентификации Aladdin 2FA или сторонних приложений Google Authenticator, Яндекс.Ключ и им подобных.
Для оформления бумажных документов, таких как отчёты и заявки на выдачу токена, реализована встроенная подсистема печати.
Управлять токенами и программными средствами аутентификации на всех этапах их жизненного цикла, включая выдачу, перевыпуск и отзыв токенов и всех связанных с ними объектов (сертификатов, ключей, меток АПМДЗ и т.д.). Автоматическая синхронизация токенов и поддержка популярных удостоверяющих центров позволяют мгновенно приводить текущий парк токенов в актуальное состояние.
JMS поддерживает работу с популярными и распространёнными удостоверяющими центрами – Microsoft CA, КриптоПро 1.5 и 2.0, ViPNet 4.6 и Notary-Pro. В составе системы есть Офлайн-коннектор, позволяющий организовать работу с аттестованными удостоверяющими центрами, расположенными в изолированных контурах, не нарушая требований к информационной безопасности, предъявляемых к ним.
JMS также интегрируется с ресурсными системами (источниками информации о пользователях и рабочих станциях), в качестве которых может выступать не только Microsoft AD и Крипто Про, но и собственная служба каталогов JMS – JaCarta Directory Service (JDS).
Поддерживаются все токены и смарт карты линейки JaCarta, распространённые модели токенов и смарт-карт сторонних компаний-изготовителей (Рутокен, ESMART), а также аппаратные и программные OTP-, U2F-аутентификаторы, включая "облачные" токены (КриптоПро DSS).
С помощью реализованного в JMS механизма профилей платформа связывает между собой такие сущности, как "пользователь", "токен", "программный или аппаратный OTP-/U2F-аутентификатор" или "объект на токене". Профиль представляет собой набор правил (политик), применяемых к перечисленным сущностям. Профиль может быть применён к контейнеру (OU) ресурсной системы, группе или отдельному пользователю. В профиле, например, можно указать параметры сертификатов, выпускаемых на токены пользователей из конкретной OU. Далее при соответствующей настройке включение нового пользователя в указанный OU вызовет автоматический выпуск для него указанного сертификата и запись его на токен в процессе синхронизации (применения политик). Исключение пользователя из OU вызовет автоматический отзыв его сертификата и удаление последнего с токена пользователя.
Реализован гибкий механизм фильтрации применения политик в том числе с использованием групп безопасности Microsoft Active Directory.
Благодаря реализованным в JMS классическому “толстому” клиенту и веб-порталу самообслуживания пользователи JMS в соответствии с установленными администраторами политиками имеют возможность выполнять все необходимые разрешённые операции жизненного цикла как аппаратных токенов/смарт-карт, так и объектов, хранящихся на них. Возможности самообслуживания в равной степени относятся к аппаратным OTP-\U2F- и программным PUSH\OTP\SMS аутентификаторам. Платформа позволяет реализовать внутренний (внутри периметра организации) и внешний порталы самообслуживания с отличающимися наборами разрешённых функций.
Высокопроизводительный сервер двухфакторной аутентификации JaCarta Authentication Server (JAS), входящий в состав JMS, обеспечивает организацию дополнительной защиты с применением аутентификации по одноразовым паролям (OTP-), стандарту U2F или программным токенам.
Система JMS спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость. Более того, реализованные технологии исключают практическую возможность отказа в обслуживании клиентского запроса.
Поддерживаются кластерные технологии (NLB) и распространённые аппаратные балансировщики нагрузки. Возможность резервного копирования настроек, базы данных системы, закрытых ключей и сертификатов.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
Начиная с версии 3.5, JMS проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном в облаке стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
В состав JMS входит мощная система журналирования, позволяющая фиксировать все события, связанные с управлением администраторами и эксплуатацией пользователями как токенов и объектов на них, так и программных и аппаратных OTP-/U2F-аутентификаторов.
Начиная с версии 3.7 в журнале событий также регистрируются события аутентификации. Система ведёт собственный служебный журнал с удобными возможностями фильтрации событий и настройки отчётов, что облегчает проведение отчётности, диагностику неисправностей и разбор конфликтных ситуаций.
Существует возможность выгрузки информации о событиях на сервер Syslog для интеграции с SIEM-системами.
Система JMS создана в России, является полностью отечественной разработкой и включена в Единый реестр отечественного ПО (№ 311). Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, такие как учёт СКЗИ в соответствии с требованиями ФСБ России.
JMS сертифицирована ФСТЭК России на соответствие 4 уровню доверия и техническим условиям (сертификат соответствия № 4411 от 20 мая 2021 года).
Для клиентов, использующих системы иностранного происхождения, например, SafeNet Authentication Manager (SAM) или Token Management System (TMS), доступна простая миграция на JMS с сохранением всех настроек и данных.
Строгая двухфакторная аутентификация Работа с усиленной ЭП Шифрование данных Безопасное хранение пользовательских данных.
JaCarta PKI — сертифицированные USB-токены и смарт-карты с аппаратной реализацией зарубежных криптоалгоритмов, предназначенные для работы с инфраструктурой открытых ключей (PKI).
Поддержка PKI позволяет применять устройства JaCarta PKI для строгой двухфакторной аутентификации и работы с усиленной ЭП в различных информационных системах и электронных сервисах. Наличие защищённой энергонезависимой памяти (EEPROM) даёт возможность безопасно хранить пользовательские данные и ключевые контейнеры популярных программных средств криптографической защиты информации (СКЗИ).
- Строгая двухфакторная аутентификация пользователей в защищённых информационных системах (с применением зарубежных криптоалгоритмов)
- Обеспечение целостности и конфиденциальности передаваемых данных с помощью шифрования и имитовставки по ГОСТ 28147-89
- Формирование и проверка усиленной квалифицированной ЭП с неизвлекаемым ключом для прикладных систем (ЭДО, ДБО, и т.д.), Web-приложений и облачных сервисов
- Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти (EEPROM).
- Системы дистанционного банковского обслуживания
- Системы сдачи электронной отчётности
- Системы электронного документооборота
- Электронные торговые площадки
- Корпоративные порталы
- Порталы государственных услуг
- Системы электронного таможенного декларирования
- Web-сервисы
- Защита конфиденциальной информации с помощью шифрования
- Контроль доступа пользователей к защищённой информации
- Двухфакторная аутентификация с помощью ключевого контейнера пользователя
- Прозрачность работы для пользователя
- Разграничение прав доступа между администраторами ИТ и ИБ
- Поддержка алгоритма шифрования ГОСТ
- Поддержка Astra Linux 1.7, РЕД ОС 7.3 и ОС Альт 8 СП
- Удобный графический интерфейс
Secret Disk для Linux – система криптографической защиты информации в среде Linux
- Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на встроенных носителях
- Защита информации от утечки при доступе посторонних лиц, в том числе при сервисном обслуживании, утере персональных компьютеров или ноутбуков
- Контроль доступа пользователей к защищённой информации
- Надёжная двухфакторная аутентификация с применением ключевого контейнера пользователя
- Разделение прав доступа администраторов ИТ и ИБ
Работа на персональном компьютере в офисе
Несанкционированный доступ к данным по локальной сети или неправомерное использование посторонними лицами во время отсутствия пользователя на рабочем месте
Работа на ноутбуке вне офиса
Утеря или кража ноутбука, несанкционированное использование посторонними лицами
Отправка компьютера или ноутбука на сервисное обслуживание
Несанкционированный доступ к данным во время проведения ремонтных и сервисных работ внутренней ИТ-службой или внешней сервисной компанией
Предоставление системному администратору полного доступа к компьютеру
При установке нового ПО конфиденциальные данные должны быть защищены
Безопасная работа с конфиденциальными данными
- Защита данных как на включенном компьютере, так и в любых других состояниях
- Предотвращение утечек информации
- Разграничение прав пользователей
Прозрачное шифрование, незаметное для пользователя
- Шифрование не отражается на производительности компьютера
- Для пользователя неразличимо с каким файлом он работает – с обычным или зашифрованным
- Операции шифрования проводятся в фоновом режиме
Реализация стратегии импортозамещения
- Полностью отечественное решение
- Совместимость с российскими операционными системами
- Поддержка алгоритма шифрования ГОСТ 34.12-2018
Данные, хранящиеся на зашифрованных виртуальных дисках доступны только пользователям Secret Disk для Linux, владеющим ключевым контейнером пользователя и зарегистрированным в Secret Disk для Linux. Остальные пользователи, включая системного администратора, не могут получить доступ к зашифрованным данным.
Защита конфиденциальной информации обеспечивается шифрованием данных "на лету" с помощью надёжных алгоритмов шифрования. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на зашифрованном диске данные всегда зашифрованы.
Защищённый виртуальный диск можно подключать и отключать. Отключенный зашифрованный виртуальный диск выглядит как неформатированный. Для того чтобы подключить зашифрованный диск, пользователь должен иметь ключевой контейнер пользователя, знать его пароль и иметь право доступа к данному диску.
Secret Disk для Linux позволяет защищать так называемые виртуальные диски. Всё содержимое виртуального диска хранится в одном файл-контейнере в зашифрованном виде. Подключенный виртуальный диск операционная система воспринимает как обычный диск. Файл подключенного виртуального диска защищён от удаления.
При прямом просмотре содержимое отключенного зашифрованного диска выглядит как случайная последовательность битов ("белый шум"), поскольку все данные зашифрованы. По содержимому раздела диска невозможно определить, является ли данный раздел просто неформатированным, или же на нём имеется какая-то информация. Так, Secret Disk для Linux обеспечивает защиту конфиденциальной информации от несанкционированного доступа.
Операционные системы
- Astra Linux 1.7, обновления 1.7.1, 1.7.2, 1.7.3
- РЕД ОС 7.3 (стандартная редакция)
- РЕД ОС 7.3 (сертифицированная редакция)
- Альт 8 СП
Аппаратное обеспечение
- В соответствии с требованиями к установленной операционной системе
- Оперативная память (RAM) — не менее 1 ГБ
- Свободное место на диске — не менее 1 ГБ
Поддерживаемые файловые системы:
- EXT4
- FAT, FAT32, NTFS, EXFAT (если поддерживается ОС)
Размер защищаемых ресурсов: Виртуальный диск объемом от 100 МБ до 1 ТБ
Тип аутентификации: Двухфакторная аутентификация с применением ключевого контейнера пользователя (ККП)
Поддерживаемые криптографические алгоритмы:
- ГОСТ 34.12-2018, ГОСТ 34.13-2018 (шифрование данных)
- ГОСТ 34.10-2018, ГОСТ 34.11-2018 (аутентификация и проверка целостности)
- Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance)
- Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
- Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, WCF, ADFS и др.
- Высокая производительность (более 5,000 аутентификаций в секунду)
- Полнофункциональный Личный кабинет пользователя, позволяющий реализовать все операции с программными аутентификаторами от самостоятельного выпуска до блокировки
- Сервис безопасной передачи секрета (вектора инициализации) программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 3.7.
JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 3.7, поддерживающий работу как c аппаратными OTP и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств. Таких как приложение Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
- шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
- шлюз к рабочим столам Microsoft (Microsoft RDG)
- корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App
- web-приложения, сайты и облачные сервисы
- системы дистанционного банковского обслуживания (ДБО) и ЭДО.
Глубокая интеграция JAS в платформу JMS 3.7 позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами, а также функциональные возможности Личного кабинета пользователя JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
Повышенная защищённость
Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP аутентификаторов.
Поддержка аппаратных и программных токенов
JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.
Универсальность и самодостаточность
Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:
- RADIUS
- REST
- WCF
- WS-Federation (ADFS)
- HTTP и SMPP (для интеграции c SMS-шлюзами).
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, а также средства управления токенами и пользователями.
Поддержка мобильных устройств
JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Все приложения доступны в Google Play и Apple Store.
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Масштабируемость
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
Совместимость
JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.
Производительность, масштабируемость и отказоустойчивость
JAS выдерживает значительные нагрузки (свыше 5,000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность процессов аутентификации.
Полная автоматизация возможных сценариев использования
Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 3.7 и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.
Многофункциональный Личный кабинет даёт возможность пользователю в рамках предоставленных администратором полномочий управлять своими аутентификаторами – осуществлять выпуск, синхронизацию, перевыпуск, блокировки и разблокировки.
- строгой двухфакторной взаимной аутентификации пользователя и Web-сервера;
- работы с усиленной и усиленной квалифицированной электронной подписью;
- безопасного подтверждения транзакций/операций при работе в недоверенной среде;
- шифрования данных с использованием российских или зарубежных криптоалгоритмов.
Поддерживает популярные операционные системы
Приложение JC-WebClient работает на всех популярных платформах: Microsoft Windows, Apple macOS и Linux.
Кроссплатформенность максимально расширяет аудиторию пользователей Web-приложений, так как им не нужно иметь определённую операционную систему — достаточно приобрести USB-токены или смарт-карты JaCarta, скачать дистрибутив приложения JC-WebClient и осуществить установку.
Работает со всеми популярными браузерами
JC-WebClient отличается от конкурирующих решений тем, что в нём реализована единая технология для работы с браузерами. За счёт этого JC-WebClient штатно поддерживает работу со всеми популярными браузерами: Google Chrome, Opera, "Яндекс.Браузер", Mozilla Firefox, Apple Safari, Microsoft Internet Explorer, Microsoft Edge, "Спутник" и др.
Эта особенность JC-WebClient позволяет избавить разработчиков от постоянных доработок своих Web-приложений под конкретный браузер, а пользователей — от проблем с выбором одного из нескольких вариантов дистрибутивов для установки.
Легко интегрируется в Web-приложения
JC-WebClient легко встраивается в Web-приложение, так как предоставляет простой интерфейс прикладного программирования (API), понятный даже начинающим Web-разработчикам, и исчерпывающие примеры интеграции.
Единая технология работы с токенами, лежащая в основе JC-WebClient, избавляет разработчиков от проблем с совместимостью в различных браузерах. При этом JC-WebClient не накладывает ограничений на тип Web-сервера и язык разработки Web-приложений.
Устанавливается за три простых шага
Приложение JC-WebClient может легко установить даже неподготовленный пользователь. Для этого нужно выполнить всего три простых шага.
- Зайти на нужный пользователю Web-сайт.
- Скачать дистрибутив приложения JC-WebClient.
- Запустить процесс установки и дождаться его окончания.
Просто использовать
JC-WebClient делает процесс использования USB-токена или смарт-карты совместно с браузером максимально простым и понятным. Приложение JC-WebClient работает в фоновом режиме и не требует от пользователя каких-либо действий по запуску или настройке.
Обладает повышенной отказоустойчивостью
Сервис мониторинга, реализованный в составе JC-WebClient, контролирует целостность приложения и перезапускает его при возникновении нештатных ситуаций в операционной системе. Единая технология для работы с разными браузерами также делает приложение более стабильным.
Поддерживает работу с российской и зарубежной криптографией
JC-WebClient поддерживает работу как с зарубежными, так и с российскими криптографическими алгоритмами в зависимости от типа используемого USB-токена или смарт-карты. Это позволяет использовать USB-токены и смарт-карты для работы как с усиленной ЭП ( JaCarta PKI, JaCarta PRO или eToken PRO (Java)), так и с усиленной квалифицированной ЭП ( JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ и токены Aladdin LiveOffice).
JC-WebClient предоставляет свободу выбора модели токена и вида применяемой ЭП как для разработчиков, так и для пользователей.
Поддерживает современные токены
JC-WebClient поддерживает работу с распространёнными в России токенами: JaCarta PKI, JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ, JaCarta-2 ГОСТ, JaCarta PRO, eToken PRO (Java), JaCarta LT и токены Aladdin LiveOffice).
Если у пользователя уже есть одно из перечисленных устройств и его устраивает функциональность этого токена, то переход на JC-WebClient в таком случае не потребует каких-либо финансовых затрат с его стороны.
Обеспечивает высокий уровень информационной безопасности
В JC-WebClient применяются развитые механизмы информационной безопасности: обеспечивается взаимная строгая двухфакторная аутентификация пользователя и Web-сервера, конфиденциальность данных и надёжная защита от кражи закрытых ключей.
Совместимость с инфраструктурой открытых ключей (PKI) обеспечивает дополнительный уровень доверия.
Обеспечивает безопасную работу в недоверенной среде
JC-WebClient поддерживает работу с Trust Screen-устройством "Антифрод-терминал", предназначенным для безопасной аутентификации, безопасной работы с ЭП, а также безопасного подтверждения транзакций/операций пользователя в недоверенной среде.
Использование "Антифрод-терминала" позволяет исключить атаки, направленные на выполнение несанкционированных операций от лица легального пользователя, со стороны вредоносного ПО и злоумышленников, получивших удалённое управление ПК пользователя.
Обеспечивает возможность администрирования токена
В состав JC-WebClient входит инструмент администрирования токенов, который позволяет:
- форматировать токен;
- получать подробную информацию о токене (об устройстве);
- задавать политики для пин-кода пользователя;
- сбрасывать пин-код пользователя.
- Рекомендуется для защиты персональных данных, хранящихся в СУБД, в соответствии с 152-ФЗ "О персональных данных"
- Обеспечивает надёжное ограничение доступа Администраторов СУБД к хранящейся в базе информации
- Позволяет выполнить наиболее критичные требования стандарта PCI DSS для систем, использующих банковские карты
- Не имеет аналогов на российском рынке и дополняет штатные средства безопасности СУБД
- Может быть использована для защиты персональных данных в облачных средах
"Крипто БД" — сертифицированная система предотвращения утечек информации из СУБД Oracle, Microsoft SQL Server, PostgreSQL, Postgres Pro.
"Крипто БД" — первая сертифицированная в России система предотвращения утечек информации из высокопроизводительных СУБД Oracle, Microsoft SQL Server, PostgreSQL, Postgres Pro.
Сертифицирована ФСБ России
"Крипто БД" сертифицируется ФСБ России как средство криптографической защиты информации класса КС1, КС2 и КС3, что позволяет использовать её для защиты информации, не содержащей сведений, составляющих государственную тайну.
Включено в Единый реестр отечественного ПО
"Крипто БД" включена в Единый реестр отечественного ПО (№ 509, № 518, № 4292, № 4293) и рекомендуется к закупкам государственными предприятиями и органами власти.
"Крипто БД" — наложенное средство защиты информации, представляющее собой программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД посредством криптографической защиты данных. С помощью системы "Крипто БД" можно осуществлять селективное (выборочное) шифрование информации, хранящейся в логической структуре таблиц СУБД, что существенно снижает нагрузку на аппаратные ресурсы по сравнению, например, с шифрованием всех файлов базы данных.
Являясь наложенным средством защиты информации, система "Крипто БД" не затрагивает штатных механизмов обработки информации СУБД. При этом обеспечивается дополнительный контроль доступа к защищённым данным, а также регистрация всех операций с ними, независимо от уровня привилегий пользователей СУБД.
Система "Крипто БД" состоит из следующих компонент:
- компоненты сервера "Крипто БД";
- консоль управления администратора безопасности;
- коллекторы аудита (опционально).
Система "Крипто БД" функционирует на различных платформах распространённых СУБД:
- Oracle;
- Microsoft SQL Server;
- PostgreSQL;
- Postgres Pro;
- Jatoba
Клиентское ПО системы работает под управлением операционной системы Microsoft Windows XP/Vista/7/8/8.1 (32- и 64-бит).
По сравнению со средствами защиты информации, встроенными в СУБД, система "Крипто БД" имеет следующие преимущества:
- возможность выборочного шифрования отдельных столбцов в таблицах СУБД, что позволяет не снижать производительность всей базы данных;
- возможность реализации усиленной аутентификации пользователей для доступа к защищённым данным с использованием USB-токенов или смарт-карт;
- возможность ведения аудита и мониторинга событий доступа к зашифрованным данным;
- наличие средств гибкого централизованного управления ключами шифрования, исключающих возможные несанкционированные действия администраторов БД;
- простота внедрения в существующие информационные системы без необходимости внесения изменений в программный код.
Для защиты персональных данных в системах, предоставляющих "облачные" сервисы, использование функциональности системы "Крипто БД" также возможно. Для облачной инфраструктуры (IaaS), такой как хостинг СУБД, применение "Крипто БД" не отличается от традиционного. Для сервисов SaaS требуется применение дополнительного компонента — шифрующего прокси.
На сегодняшний день платформы СУБД Oracle, Microsoft SQL Server, PostgreSQL и Tibero являются признанными лидерами на российском рынке. Обеспечение конфиденциальности информации, хранящейся в этих СУБД, становится одной из приоритетных задач большинства российских компаний. Это в полной мере относится и к государственным организациям, которым необходимо выполнять требования законодательства по защите персональных данных и конфиденциальной информации.
Компания "Аладдин Р.Д." более семи лет занимается разработкой решений для защиты баз данных. Результатом накопленной экспертизы стало предложение рынку уникального продукта — "Крипто БД". Внедряя данное решение, российские заказчики имеют возможность обеспечить надёжное предотвращение утечек информации из СУБД, легко интегрировать решение в свою инфраструктуру и при этом выполнять нормы законодательства РФ.
Система "Крипто БД" проходит регулярную сертификацию ФСБ России по требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну. На данный момент времени имеется положительное заключение ФСБ России, свидетельствующее о том, что Крипто БД версии 2.0 ИСП. 1,2,3 удовлетворяет требованиям к СКЗИ. Сроки действия положительного заключения:
- на версию 2.0, исп. 1,2 - до 15 января 2024 г.
- на версию 2.0, исп. 3 – до 30 июня 2022 г.
Для Крипто БД версии 3.0 проводятся тематические исследования, которые будут завершены в ближайшее время.
- Предназначен для интенсивного использования в офисе, УЦ, МФЦ, АСУ ТП, ГИС до 1-го класса защищённости
- Поддерживает работу с любыми типами контактных микропроцессорных смарт-карт
- Имеет повышенный ресурс, не царапает поверхность карты
- Спроектирован по новым Требованиям доверия ФСТЭК России для работы с гостайной (до степени секретности "СС")
- Работает с сертифицированной ФСТЭК России системой централизованного управления жизненным циклом устройств, позволяющей автоматизировать основные сценарии по их учёту и обслуживанию
- Сделано в России
Смарт-карт ридер JCR721 (считыватель смарт-карт) — это универсальное устройство (смарт-карт ридер) Enterprise-класса для работы с любыми типами контактных микропроцессорных смарт-карт.
Ридер предназначен для интенсивного использования в офисах, Удостоверяющих центрах (УЦ), МФЦ, медицинских учреждениях, дома.
Главная особенность нового ридера — доверие.
Поставляемые в Россию импортные смарт-карт ридеры не являются доверенными, хотя используются для целей информационной безопасности, имеют закрытые для анализа прошивки, могут иметь проблемы с безопасностью, недокументированные возможности и опасные уязвимости, которые могут быть использованы для атак на целевые системы.
Смарт-карт ридер JCR721 (считыватель смарт-карт) спроектирован по новым Требованиям доверия ФСТЭК России, в том числе для работы с гостайной (до степени секретности "СС"), производится в России, и может использоваться1
- В ГИС, АСУ ТП 1-го класса защищённости, для обеспечения безопасности персональных данных 1-го уровня защищённости
- На предприятиях КИИ
- В госорганах
- В многофункциональных центрах (МФЦ) и офисах обслуживания
1 Смарт-карт ридер JCR721 находится на сертификации во ФСТЭК России по 2-му уровню доверия (серийное производство), решение о сертификации № 6177.
Типовые задачи, при решении которых используется смарт-карт ридер
- Идентификация и двухфакторная аутентификация пользователя с использованием смарт-карты
- Хранение криптографических контейнеров программных СКЗИ на смарт-карте
- Хранение пользовательских данных в защищённой области памяти смарт-карты
- Выполнение криптографических операций на смарт-карте и передача результатов, в том числе электронной подписи, хеширования, согласования сеансовых ключей и т.д.
Примеры проектов и сфер применения смарт-карт ридера
- Инфраструктура открытых ключей (PKI)
- Сетевая безопасность
- Электронный банкинг и электронные платежи
- Электронное удостоверение сотрудника (служащего, чиновника)
- Электронные системы здравоохранения
- Программа лояльности
- Является CCID-совместимым устройством, не требует установки специальных драйверов и работает сразу при подключении к USB-порту компьютера (Plug and Play)
- Поддерживает работу с любыми контактными смарт-картами (MCU) стандарта ISO 7816 Part 1-3 Class A, B, C (5V, 3V, 1.8V)
- Поддерживает работу со смарт-картами по протоколам Т=0, Т=1/TPDU
- Имеет стандартный USB-разъём Type-A или Type-C (опция при заказе)
- Поддерживает автоматический выбор протокола и параметров PPS (Protocol and Parameters Selection)
- Не требует установки специального прикладного ПО и работает через стандартные программные интерфейсы PC/SC
- Может использоваться с различными ОС:
-Microsoft Windows XP SP3, Vista SP2, 7 SP1, 8, 8.1, 10
-Microsoft Windows Server 2003 SP2, 2008 SP2, 2008 R2 SP1, 2012, 2012 R2 и старше
-GNU/Linux x32/x64, в том числе:
- Astra Linux SE 1.5 x64, Astra Linux Special Edition релиз Ленинград (Эльбрус 8С, 1С+) версия 8.1
- Альт 8 СП (х32 и х64), Альт Рабочая станция 10 (х32 и х64), Альт Сервер 10 (х64), Альт Образование 10 (х32 и х64), Simply Linux (х32 и х64)
- Ubuntu 16.04 LTS x64
- CentOS 7.6 x64
- KTL (Kraftway Terminal Linux)
- MCBC 3.0 x32 (ФЛИР.80001-12 изм. № 4)
- MCBC 5.0 x64 (ЦАВМ.11004-01 изм. № 7)
- ОС "Эльбрус"
-Apple macOS 10.13 High Sierra 10.13 (x64), macOS 10.14 Mojave
-Android 8+ (Oreo)
-Российская защищённая мобильная операционная система Sailfish Mobile OS Rus (Отечественная мобильная ОС "Аврора")
- Работает на доверенном российском "железе" с использованием отечественных процессоров Эльбрус, Байкал
- Поддерживается работа на компьютерах, терминалах, серверах с процессорами IA-32, IA-64, x86-64, на мобильных устройствах с процессорами ARM
- Обеспечивается работа с различными гипервизорами, средами виртуализации
-Citrix XenApp 7.5 (ICA, RDP)
-Microsoft Hyper-V (RDP)
-VMware WorkStation 15 (64 бит), VMware Horizon 7.3.1(BLAST), VMware ESXi (PCoIP, RDP)
-OpenStack, Российские Linux — KVM (Spice, freerdp, rdesktop)
-KTL (Kraftway Terminal Linux)
Надёжность и повышенный ресурс
Смарт-карт ридер JCR721 (считыватель смарт-карт) оборудован специальным контактным механизмом микролифт™, применяемым в дорогих промышленных устройствах
- Ресурс — не менее 200 000* подключений смарт-карт (для встраиваемых ридеров — не менее 500 000 подключений)
- Не царапает поверхность карты — контакты не скользят по поверхности карты в процессе подключения и отключения, царапая её, а опускаются на контактную площадку карты только после полной фиксации карты в ридере (микролифт™)
- Контакты механически не воздействуют на встроенную в комбинированные карты антенну (NFC, RFID), обеспечивая минимальный риск её повреждения
- Контроль за ресурсом для предотвращения сбоев — об исчерпании ресурса контактной группы предупредит красный светодиод на корпусе ридера
- Имеет усиленную защиту от короткого замыкания и пробоя статическим электричеством
Очень быстрый
- Поддерживает самые современные смарт-карты с тактовой частотой от 4 до 16 МГц
- Обеспечивает скорость обмена данными со смарт-картой до 625 Кбит/с
- Скорость обмена с хостом (ПК) по интерфейсу USB 2.0 (Full Speed) до 12 Мбит/с
Привычный дизайн
Новый карт ридер JCR721 выпускается в том же корпусе, что и ASEDrive IIIe, к которому за 7 лет многие пользователи уже привыкли. Для многих из них он стал "рабочей лошадкой"
- Стильный
- Удобный
- Надёжный
Лицензия на использование дизайна корпуса приобретена у компании NXP — нынешнего владельца и производителя популярных в России ридеров ASEDrive.
JCR721 должен прийти на замену устаревшим моделям ASEDrive, будет продвигаться на мировой рынок, в т.ч. и по каналам компании NXP.
Возможность обновления "прошивки"
JCR721 работает под управлением собственной доверенной операционной системы с набором приложений.
В процессе эксплуатации ридера может понадобиться обновление его встроенного программного обеспечения ("прошивки"), например, для добавления новых функций, поддержки новых протоколов и спецификаций.
Смарт-карт ридер JCR721 имеет встроенную подсистему безопасного обновления своего программного обеспечения ("прошивки").
Контроль за ресурсом
Для предотвращения сбоев при работе со смарт-картой ридер контролирует ресурс контактной группы (количество подключений карты) и при его исчерпании включит красный индикатор.
Уникальный серийный номер устройства
Для учёта и контроля подключаемых устройств требуется уникальный серийный номер.
Карт ридер JCR721 имеет машиночитаемый номер, "прошитый" при производстве, и доступный для чтения прикладным ПО (в т.ч. и JaCarta Management System), а также машиночитаемый штрихкод и напечатанный номер на этикетке.