1 Технологии Microsoft для финансовых организаций Владимир Мамыкин к.э.н., МВА Директор по информационной безопасности ООО «Майкрософт Рус» блог: ИНФОФОРУМ-Финанс 3 октября 2008

2 Основные задачи Агрегирование данных из различных источников Обеспечение безопасности

3 Агрегирование данных – Microsoft Office SharePoint Server 2007 Ключевые сценарии использования SharePoint 2007: Получение данных из различных источников (через коннекторы) Работа данными: Корпоративный портал Коммуникации и совместная работа Управление корпоративной информацией Бизнес-анализ Поиск

4 SharePoint Server центральный элемент инфраструктуры 2007 Office system Совместная работа Бизнес- анализ Портал Формы Поиск Управление контентом платформа Следующее поколение систем коммуникации, управления проектами и заданиями, блоги, wiki Расширенная агрегация и персонализация Улучшенная релевантность, поиск по персоналиям и бизнес-данным Интегрированная поддержка электронных форм, полнофункциональные веб-формы Серверные электронные таблицы Excel, порталы отчетности и анализа данных Документооборот, бизнес- процессы, управление архивом и веб-данными на базе политик Рабочие области, управление, безопасность, хранение данных, топология и структуры узлов

5 Коннекторы для поставки данных в SharePoint Server 2007 Documentum (EMC) Dynamics (Microsoft) EMC Centera FileNet (IBM) IBM Workplace Lotus Notes/Domino (IBM) Oracle Financials SAP Siebel А также могут быть написаны коннекторы для любых других систем

6 Управление корпоративной информацией в Office SharePoint Server 2007 Управление архивом Управление веб-данными Управление формами Хранение данных Службы Компоненты Интерфейс пользователя Microsoft Office Веб-браузеры Другие приложения ПроцессыМетаданныеПолитики ПоискБезопасностьIRM Совм. работа Библиотеки Управление документами

7 Управление корпоративной информацией Хранилище документов Задание разрешенных типов документов Управление большими объемами документов Управление версиями и статусом документов Поиск документов по метаданным

8 Управление документами Автор Рецензен т Автор Хранилище документов Менеджер Утверждение в приложении Office Начало процесса в приложении MS Office Стандартные шаблоны документов Производство Центральный Округ Сотрудники Предложения по улучшению Контакты Защита на основе политик

9 МетаданныеМетаданные Business Data Catalog Веб-частьВеб-частьСпискиСпискиПоискПоиск Польз. профиль Корп. приложения БДБД WS Proxy ADO.NETADO.NET Веб-частиВеб-части SQL Server, Oracle, OLEDB, ODBC BizTalk, MS Dynamics, SAP, Siebel, Legacy, … List store SearchIndex Profile Store Business Data Сatalog Подключение SharePoint Server 2007 к бизнес-данным

10 Получение бизнес- отчетов в Outlook и возможность оффлайновой работы Возможность работы напрямую с информацией из бизнес-система с помощью приложений Office Использования календаря Outlook как интерфейса к SAP Time Recording Бизнес-анализ Интеграция с бизнес-системами

11 Active Directory Federation Services (ADFS) Управление правами Защита информации Шифрованная файловая система (EFS) BitLocker Защита доступа к сети (NAP) Клиентская ОС Серверные приложения Периметр Службы Управление системой Руководства Средства для разработчиков

12 Немного о Forefront Для серверов коллективной работы и обмена сообщениями (Exchange Server, Sharepoint Server, и др.) Работающие одновременно антивирусные движки (Касперские, CA, Microsoft и др.) Антивирус от Microsoft – прогресс: Май, Тесты Клементи – последнее 17-е место (1-е – Лаборатория Касперского, 16-е место – Доктор Веб) Июнь, Тесты VirusBulletin100 – отловил все 100% вирусов, обогнав многие лаборатории (Лаборатория Касперского не прошла тест, пропустив некоторые вирусы) Вывод – антивирусный движок от Microsoft ничуть не хуже других, он такой же как все

13 Смарт карты Plug and Play Card Space Безопасность BitLocker = шифрование диска EFS Клиент RMS SDL = Security Development Lifecycle Модели угроз Контроль за качеством кода Windows Service Hardening СNG – Crypto Next Generation Windows Security Center - единая консоль Internet Explorer 7 Windows Defender Встроенный межсетевой экран NAP = Network Access Protection Основы Идентификация и контроль доступа Уменьшение уязвимостей Защита информации

14 Service Hardening Windows Service Hardening Изоляция процессов Сервисы запускаются с уменьшенными, по сравнению с Windows XP, привилегиями Сервисы Windows профилируются для разрешения действий с сетью, файловой системой, и Registry Разработано с целью предотвращения попыток вредоносного ПО заставить сервис Windows записывать данные в области, не являющиеся областями, с которыми работает сервис Active protection File system Registry Network

15 BitLocker Drive Encryption Шифрование диска Разработано специально для защиты от злоумышленников, которые используют другие операционные системы или хакерские инструменты Использует Trusted Platform Module v1.2 или USB flash drive для хранения ключей BitLocker BitLocker

16 Access Control List Да Нет Люди Фай л Межсетевой экран Проблемы при классическом управлении доступом

17 Технология управления цифровыми правами документов Состоит из двух составляющих Серверная компонента RMS (Right Management Services) – поставляется для Windows Server 2003\2008 Клиентская компонента IRM (Information Right Management) Технология, которая Позволяет организациям создавать и применять политики использования создаваемых документов Для любого приложения В любом формате Позволяет политике использования документа следовать за документом Внутри организации Вне организации Может использоваться разработчиками не только для приложений Microsoft

18 Как это работает 1. Автор создает документ. Автор формирует набор прав и правил для документа (Publishing License). Приложение зашифровывает документ 2. Приложение посылает Publishing License серверу RMS на подпись 3. RMS подписывает Publishing License и возвращает ее приложению 4. Автор пересылает файл получателям документа 5. Получатель открывает файл. Приложение посылает серверу RMS запрос на Use License. В этот запрос включаются RM Account Certificate (RAC) получателя и Publishing license документа 6. RMS проверяет запрос и RAC, идентифицирует получателя. При успешной проверке RMS выдает получателю лицензию на работу (Use License) с документом 7. Приложение получает лицензию от RMS и отрабатывает правила, заложенные в ней, расшифровывая документ. Получатель работает с документом Автор документа Получатель документа SQL Сервер RMS

19 Client WS-* Identity Metasystem 3. Использование Security Tokens (WS-Security) в соответствующем приложении 2. Получение Security Tokens (WS-Trust) содержащего содержащего необходимые данные Service 1. Получение Service Policy (WS-MetadataExchange) описывающую требования к данным Identity Provider Identity Provider Active Directory Federation Services Windows CardSpace Windows Communication Foundation, ASP.Net, and more

20 Новое в Vista - CardSpace Использование опыта пользователя Позволяет исключить пароли Позволяет защитить пользователя от некоторых фишиговых атак Поддерживает двух-факторную аутентификацию УдобнееБезопаснее

21 Новое в Vista - CardSpace Простой визуальный выбор различных цифровых идентификаторов: – Корпоративных, государственных, выпущенных самостоятельно – Простая процедура выбора – Не зависит от используемых технологий (PKI, пароли, и т.д.) Использование открытого стандарта - протокола WS-Trust Новые версии Active Directory поддерживают CardSpace Безопасность – Защищенные подсистемы и использование криптографических функций уменьшают риски фишинговых атак – НОВОЕ – CARDSPACE уже работает с РОССИЙСКОЙ КРИПТОГРАФИЕЙ (от компании КРИПТО-ПРО)

22 Сервер идентификации Сервер ILM 2007 (Identity Lifecycle Manager 2007) – сервер идентификации для гетерогенных структур (ранее Microsoft Identity Integration Server Alacris idNexus) Метакаталог Агенты управления идентификацией – более 30 для Служб каталогов (Novell eDirectory, Sun, IBM Tivoly…) Баз данных (DB2, Oracle,…) Систем обработки электронной почты (Lotus,…) Мейнфреймов Приложений (SAP,…) Управление жизненным циклом сертификатов

23 СПАСИБО!!! Владимир Мамыкин блог: