Реализованные защитные меры ИБ в системе

Аутентификация пользователей в системе

Аутентификация пользователей может осуществляться тремя способами:

1. С помощью логина и пароля, заданных в системе. При входе пользователя происходит сравнение хеша введённого им пароля (для указанного логина) с хешем пароля, сохранённым в базе данных. При первом входе в систему сотруднику необходимо задать собственный пароль.
2. Посредством интеграции Active Directory.
3. С использованием протокола SAML.

Перечень объектов защиты системы

Перечень защищаемых объектов:

• журналы безопасности (хранятся в логах C:\ProgramData\Infomaximum\logs)
• аутентификационная информация пользователей (хранится в базе C:\ProgramData\Infomaximum\database)
• файлы настроек (хранятся в базе C:\ProgramData\Infomaximum\database)
• права доступа (хранятся в базе C:\ProgramData\Infomaximum\database)
• механизмы настройки прав и аудита (хранятся в базе C:\ProgramData\Infomaximum\database)
• исполняемые файлы (хранятся в C:\Program Files\Infomaximum)
• элементы интерфейса для веб (хранятся в C:\Program Files\Infomaximum)

Необходима защита на уровне операционной системы следующих каталогов:

• C:\Program Files\Infomaximum
• C:\ProgramData\Infomaximum
• Docker service: infomaximum-clickhouse
• Docker volume: infomaximum-clickhouse

Для валидации сертификатов используется стандартное Windows хранилище.

Проверка безопасности пароля пользователей

Параметры паролей пользователей для встроенной аутентификации можно настроить через веб-интерфейс системы: «Настройки»/«Аутентификация»/«Название аутентификации».

Сложный пароль

Проверка безопасности пароля пользователей включает в себя следующие ограничения на установку/изменение пароля в системе:

• прописные буквы английского алфавита от A до Z
• строчные буквы английского алфавита от a до z
• десятичные цифры (от 0 до 9)
• неалфавитные символы (например, !, $, #, %)
• длина пароля
• запрет на повторное использование уже использованных паролей

Проверка соблюдения этих требований выполняется при изменении или создании паролей. Проверка на содержание в пароле символов из e-mail отсутствует.

Минимальная длина пароля

Настройка минимальной длины пароля доступна только в случае, если включен параметр «Сложный пароль». Параметр указывает минимально допустимое количество символов при создании/изменении пароля. Допустимые значения: от 8 до 15 символов.

Если параметр «Сложный пароль» находится в состоянии «Выкл.», то минимальное количество символов по умолчанию — 4. Просмотр настройки параметров доступен также через веб-интерфейс по указанному выше адресу.

Срок действия пароля

Параметр «Срок действия пароля (дней)» указывает срок действия пароля с момента его задания/изменения. Возможное значение параметра — от 1 до 1000 дней. После того, как срок действия завершился, пользователю предлагается задать новый пароль. Пока пользователь не задаст новый пароль, доступ в систему будет ограничен. Чтобы сделать срок действия пароля без ограничений, оставьте параметр незаполненным.

Если параметр «Сложный пароль» находится в состоянии «Выкл.», то пользователь при вводе нового пароля может использовать предыдущие, за исключением последнего заданного пароля.

Если срок действия пароля не истек, но сотрудник поменял пароль на тот же, который установлен у него в данный момент, то счетчик срока действия пароля не обнуляется. Если пользователь поменял пароль на другой (хотя срок действия пароля не закончился), счетчик срока действия обнуляется и отсчет идет согласно заданному параметру.

Шифрование паролей

Для шифрования паролей в системе используется алгоритм: AES-256. AES — симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

При инициализации системы создается 256-битный ключ, который по умолчанию хранится в папке C:\ProgramData\Infomaximum\secret_key. Путь берётся из конфигурационного файла subsystem.core.json, который находится в C:\ProgramData\Infomaximum\config\com.infomaximum. Этот ключ используется для шифрования/дешифрования хранимых паролей.

Данный алгоритм шифрования пароля используется:

• в случае интеграции с Active Directory
• в случае соединения с БД ClickHouse
• в случае создания подключений в пространстве

Для паролей от доверенных сертификатов и их хранилища также предусмотрено шифрование:

1. В качестве аргументов --password и --secret_key_path укажите пароль и путь к ключу шифрования secret_key.
2. В файле com.infomaximum.subsystem.frontend.json замените параметры ssl_cert_store_password и trust_store_password на зашифрованные версии encrypted_ssl_cert_store_password и encrypted_trust_store_password соответственно.
3. Замените указанные пароли в параметрах на полученные в консоли значения.

После сохранения изменений пароли будут храниться в зашифрованном виде.

Хеширование паролей пользователей

На сервер не отправляется введенный пользователем пароль в исходном виде. Хеширование пароля происходит с помощью алгоритма SHA256.

Сервер получает хеш пароля и использует повторно хеш-функцию, а также функцию, формирующую секретный ключ по стандарту PBKDF2 (PBKDF2WithHmacSHA512). Сервер сохраняет в базе 2 значения в виде секретного ключа: Соль + Хеш (от присланного хеша пароля). Просмотр настройки параметров доступен также через веб-интерфейс по указанному выше адресу.

Количество попыток входа

Параметр «Кол-во попыток входа» позволяет ограничить количество попыток входа в систему. Допустимое значение параметра «Кол-во попыток входа» — от 1 до 100. Параметр отвечает за количество попыток входа, которые пользователь может совершить в системе. Попытка входа – когда пользователь верно указал логин, но неправильно ввел пароль и нажал Войти.

Если попытки достигают заданного параметра, пользователь блокируется. Этому пользователю ограничивается вход в систему. Чтобы не ограничивать количество попыток входа, оставьте параметр незаполненным.

Период, после которого попытки входа пользователя обнуляются, по умолчанию составляет 10 минут. То есть, если между попытками ввода учетных данных не более 10 минут, то они считаются последовательными, как 1,2,3,4 и т.д., и по заданному значению «Кол-во попыток входа» аккаунт блокируется. Как только проходит 10 минут, счетчик сбрасывается.

Изменение периода возможно посредством конфигурационного файла. Чтобы изменить период, после которого происходит обнуление попыток входа:

1. Перейдите по пути: C:\ProgramData\Infomaximum\config.
2. Откройте файл конфигурации: infomaximum.subsystem.core.json.
3. Измените значение параметра: reset_count_invalid_logon_duration (значение можно указать в днях, часах, минутах и секундах).

Срок жизни ссылки на восстановление пароля

Если пользователь забыл пароль, то его можно восстановить через почту. Письмо будет отправлено, если настроен сервер исходящей почты в системе Proceset. В письме указывается ссылка, после перехода по которой пользователь может создать новый пароль согласно настройкам парольной политики. По умолчанию параметр «Срок жизни ссылки для восстановления пароля» имеет значение 1 день (24 часа). Изменение параметра через веб-интерфейс недоступно. Изменение периода возможно через конфигурационный файл.

Чтобы изменить период:

1. Откройте папку: C:\ProgramData\Infomaximum\config.
2. Откройте файл конфигурации: com.infomaximum.subsystem.core.json.
3. Измените параметр restorelink_timeout (значение можно указать в днях, часах, минутах и секундах).

Время жизни неактивной сессии

По умолчанию период жизни неактивной сессии для каждого пользователя – 1 неделя (7 дней). Изменение параметра через веб-интерфейс недоступно. Изменение периода возможно через конфигурационный файл.

Чтобы изменить период:

1. Откройте папку: C:\ProgramData\Infomaximum\config.
2. Откройте файл конфигурации: com.infomaximum.subsystem.fronted.json.
3. Измените параметр: session_timeout (значение можно указать в днях, часах, минутах и секундах).
4. Перезапустите службу «infomaximum».

Идентификация, аутентификация субъектов и объектов доступа

Для всех пользователей и программных процессов осуществляется идентификация, аутентификация и авторизация. Пользователю, не прошедшему аутентификацию, не предоставляется доступ в систему. В системе существуют механизмы управления учетными записями пользователей: создание, активация, блокирование, предоставление и изменение прав и т.д.

Для управления компонентами системы требуется собственная авторизация. При этом выполняются следующие требования:

• при входе осуществляется идентификация и проверка подлинности субъектов доступа
• пароль-хеш и идентификаторы передаются исключительно по сети и хранятся в зашифрованном виде
• отсутствует возможность изменить пароль методом замены объекта, хранящего зашифрованный пароль
• реализована возможность установления минимальной длины (не менее 8 символов) и срока действия пароля (парольная политика)
• реализована возможность установления уровня сложности пароля (парольная политика)
• реализована возможность установления запрета на повторное использование одного и того же пароля (парольная политика)
• пользователю предоставляется право самостоятельно изменять свой пароль
• отсутствует доступ администраторов системы к паролю пользователя
• осуществляется контроль и подсчет попыток входа в систему (успешный или неуспешный, т.е. несанкционированный)
• система уведомляет пользователя о превышении количества неудачных попыток входа. После превышения заданного количества неудачных попыток входа доступ не предоставляется. Также при предъявлении правильного пароля пользователь не информируется о вводе правильного пароля
• система позволяет производить блокировку сеанса по запросу субъекта

Блокировка пользователей системы

Блокирование пользователей возможно осуществить следующими способами:

1. Через веб-интерфейс: «Настройки»/«Сотрудники»/«Профиль сотрудника». Удалите активные аутентификации во вкладке «Доступ» в параметре «Аутентификация» у нужного сотрудника.
2. Через массовое назначение. У пользователей, которым нужно ограничить доступ, через функцию «массовое назначение» выберите «Аутентификация» и отключите активные аутентификации. Сохраните изменения.
3. С использованием GraphQL-запроса для блокировки из внешней АС. Отправьте следующий запрос:

mutation {
    employee {
        set_authentication(target_employee_ids:[id],
         authentication_ids:[])
    }
}

Где id — идентификатор пользователя.

Инструкция по выполнению GraphQL-запросов представлена в соответствующем разделе.

После блокировки пользователя происходит его оперативное отключение от системы, текущий сеанс блокируется. При каждом новом входе в систему необходимо ввести данные для авторизации.

Блокировка пользователей из внешней системы

Для автоматической выгрузки пользователей из внешней системы необходимо наличие созданного Ключа API с определенными правами доступа. Для блокировки пользователей системы из внешней АС выполните следующие запросы:

<http://127.0.0.1:8010/graphql?query={employee{employees{id,login}}}&api_key=826ac84312a0481ea57cc160fd1b59dc>

где 127.0.0.1:8010 — это адрес сервера, 826ac84312a0481ea57cc160fd1b59dc — Ключ API.

C помощью следующего запроса можно определить id пользователя в системе:

<http://localhost:8093/graphql?query=mutation{employee{set_authentication(target_employee_ids:[id], authentication_ids:[])}}&api_key=fd7dbbf252fd43daad15628989d5eb0a>

где localhost:8093 – это адрес сервера, fd7dbbf252fd43daad15628989d5eb0a — Ключ API, id — уникальный id конкретного пользователя.

После определения id выполните блокировку сотрудника.