| Термин | Определение |
|---|---|
| 2FA (двухфакторная аутентификация) | Частный случай MFA (многофакторной аутентификации), когда предоставляется два доказательства механизма аутентификации. |
| Администратор | Специалист, отвечающий за обеспечение корректной и бесперебойной работы Avanpost FAM или какой-либо его части. Avanpost FAM предусматривает существование нескольких типов администраторов (администратор системы Avanpost FAM, администратор группы, администратора информационной системы/приложения) в соответствии со спецификацией. |
| АРМ (автоматизированное рабочее место) | Комплекс, состоящий из вычислительной техники и программного обеспечения, расположенный непосредственно на рабочем месте пользователя и предназначенный для автоматизации его работы в рамках специальности. |
| Атака | Совокупность действий и обстоятельств, которые привели к нарушению безопасности информационной системы (то есть к нарушению ее конфиденциальности, целостности и доступности). |
| Авторизация | Процедура контроля доступа субъектов (пользователей, вычислительных процессов, устройств) к объектам (например, файлам, приложениям, сервисам, устройствам) и предоставления каждому из них именно тех прав, которые для них определены правилами доступа. |
| Атрибуты пользователя | Набор характеристик, описывающих пользователя и определяющих его права доступа. |
| Аутентификация | Процедура доказательства субъектом/объектом того, что он есть то, за что (кого) он себя выдает. |
| Аутентификация данных | Доказательство подлинности данных, то есть того, что они поступили в неизмененном виде и именно от того человека, который объявил об этом. |
| База данных (БД) | Совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных. |
| Верификация (verification) | Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие. |
| Виртуальная локальная вычислительная сеть (virtual local area network) | Независимая сеть, созданная с логической точки зрения внутри физической сети. |
| Внешнее приложение | Информационная система, доступ к которой осуществляется посредством механизмов и функциональностей Avanpost FAM Server, но при этом не являющийся элементом Avanpost FAM Server. |
| Вредоносное программное средство (malware) | Вредоносное программное средство, специально разработанное для повреждения или разрушения системы посредством нарушения ее конфиденциальности, целостности и (или) доступности. |
| Группа доступа FAM | Множество пользователей внутри Avanpost FAM с единым набором возможностей для доступа к приложениям, их отдельным функциям и сценариям аутентификации. |
| Демилитаризованная зона (demilitarized zone; DMZ); ДМ3 | Пограничный сегмент сети (также известный как защищенная подсеть), выполняющий функции «нейтральной зоны» между сетями. |
| Дешифрование | Процедура, которая, будучи примененной к зашифрованным данным, возвращает их в исходное состояние. |
| Домен | В зависимости от контекста:
|
| Домен безопасности (security domain) | Совокупность активов и ресурсов, подчиняющихся единой политике безопасности. |
| Единая система идентификации и аутентификации (ЕСИА) | Федеральная государственная информационная система, порядок использования которой устанавливается Правительством Российской Федерации и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах. |
| Идентификатор | Представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним. |
| Идентификация | Процедура выявления уникального идентификатора (уникального имени), однозначно определяющего субъекта в информационной системе. |
| Информационная безопасность (ИБ) | Совокупность практических и теоретических аспектов, связанных с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. |
| Информационная система (ИС) | Система управления информацией совместно с соответствующими организационными ресурсами, предназначенная для сбора, обработки, хранения и распространения информации. |
| Канал атаки | Среда переноса от субъекта к объекту атаки (а возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки. |
| Ключ | Конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразования. |
| Ключ электронной подписи | Уникальная последовательность символов, предназначенная для создания электронной подписи. |
| Ключ проверки электронной подписи | Уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи). |
| Конфигурационный файл | Файл, содержащий отделенные от основного кода параметры и настройки приложения, определяющие поведение приложения. |
| Лицензия на программное обеспечение | Правовой инструмент, определяющий использование и распространение программного обеспечения, защищённого авторским правом. |
| Логгирование | Процесс записи и хранения информации о событиях, действиях и состояниях системы, приложений или пользователей. |
| Логи | Текстовые файлы, в которые автоматически записывается важная информация о работе системы или программы. |
| Логин | Уникальное имя учётной записи пользователя в информационной системе. |
| Маппинг атрибутов | Механизм сопоставления свойств объектов из источника данных со свойствами в целевом ресурсе. |
| Маршрутизатор (router) | Сетевое устройство, используемое для установления и управления потоками данных между различными сетями путем выбора трактов или маршрутов на основе механизмов и алгоритмов протоколов маршрутизации. |
| Межсетевой экран (firewall) | Вид барьера безопасности, размещенного между различными сетевыми средами, состоящего из специализированного устройства или совокупности нескольких компонентов и технических приемов, через который должен проходить весь трафик из одной сетевой среды в другую и, наоборот, при этом пропускается только авторизованный трафик, соответствующий местной политике безопасности. |
| Неквалифицированная электронная подпись | Электронная подпись, которая:
|
| Несанкционированный (неавторизованный) доступ | Доступ к объектам, полученный в обход разрешений системы контроля доступа. |
| Объекты | Логические и физические информационные ресурсы информационной системы. |
Операционная система (ОС) | Совокупность системных программ, предназначенная для обеспечения определенного уровня эффективности системы обработки информации за счет автоматизированного управления ее работой и предоставляемого пользователю определенного набора услуг. |
| Отказ в обслуживании (denial of service; DoS) | Прекращение санкционированного доступа к ресурсам системы или задержка операций и функций системы, приводящее в итоге к потере доступности для авторизованных пользователей. |
| Отказоустойчивый кластер | Группа из нескольких серверов, спроектированных с использованием методик обеспечения высокой доступности, гарантирующий минимальное время простоя систем благодаря аппаратной избыточности. Принцип работы заключается в автоматическом перераспределении задач отказавшего сервера на работающие машины при сбое, что позволяет избежать недоступности систем. |
| Пароль | Фактов аутентификации, представляющий собой последовательность алфавитно-цифровых символов. |
| Периметр информационной системы | Физическая и (или) логическая граница информационной системы (сегмента информационной системы), в пределах которой оператором обеспечивается защита информации в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации. |
| Политика безопасности | Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. |
| Пользователь | Лицо, использующее сервисы Avanpost FAM для получения информации или решения задач идентификации, аутентификации и авторизации. |
| Порт (port) | Конечная точка соединения. |
| Права | Разрешения, которые получаемые субъектами в рамках назначенных им полномочий (делятся на три основные группы: административные, пользовательские и групповые права). |
| Приложение | Объект Avanpost FAM, содержащий набор свойств и настроек, обеспечивающих интеграцию/взаимодействие между серверным компонентом Avanpost FAM и информационной системой Заказчика либо между серверным и клиентскими компонентами Avanpost FAM. |
| Провайдер идентификации (Identity Provider, IdP) | Система, предназначенная для хранения и управления идентификационными данными пользователей, такими как имена пользователей, пароли и электронные адреса, предоставляющая услуги аутентификации для корпоративных приложений и действующая как централизованный орган, через который администраторы могут контролировать доступ пользователей к различным информационным ресурсам. |
| Процесс аутентификации | Набор правил, по которому выполняется сценарий аутентификации. |
| Репликатор | Инструмент информационной системы, отвечающий за реализацию механизма репликации, обеспечивающий синхронизацию данных между различными копиями баз данных, передачу изменений и управление версиями данных. |
| Репликация | Процесс поддержания двух или более наборов данных в согласованном состоянии за счет изменения одного набор данных (реплики) в ответ на изменения другого набора данных (основного). |
| Роль | Набор прав доступа, предоставляемых пользователю для выполнения определенных задач и функций. |
| Секретный ключ (секрет) | Секретная информация, используемая криптографическим алгоритмом для шифрования/дешифрования данных, постановки и проверки цифровой подписи, вычисления кодов аутентичности и т.д. |
| Сертификат | Электронная форма, содержащая открытый ключ владельца данного сертификата, сведения о владельце сертификата, наименование сертифицирующей организации, выдавшей данный сертификат, и электронную подпись сертифицирующей организации. |
| Сессия | Период работы учётной записи пользователя между процессом авторизации и его завершением. |
| Система мониторинга | Совокупность механизмов, используемых для контроля и анализа IT-инфраструктуры предприятия или отдельных её элементов, отслеживания состояния различных сетевых устройств, серверов, виртуальных машин, баз данных, приложений и т.п. |
| Смарт-карта | Разновидность аппаратных идентификаторов, предназначенных для хранения различных конфиденциальных данных, таких как пароли, ключи доступа, пользовательские профили, электронные сертификаты. |
| Спуфинг (spoofing) | Маскировка под легального пользователя или сетевой ресурс. |
| Система управления базами данных (СУБД) | Комплекс программных средств для создания баз данных, хранения и поиска в них необходимой информации. |
| Скрипт MFA | Cкрипт, доступный для разработки и редактирования администратору Avanpost FAM, предназначенный для динамического вычисления шагов сценария многофакторной аутентификации пользователя. |
| Субъекты | Сущности, между которыми разделяются информационные ресурсы. |
| Сценарий аутентификации | Фактически реализуемое поведение информационной системы, которая применяется для аутентификации определённого пользователя в определённое приложение. |
| Туннель (tunnel) | Канал передачи данных между сетевыми устройствами, который устанавливают через существующую сетевую инфраструктуру. |
| Угроза | Набор обстоятельств и действий, которые потенциально могут привести к нарушению безопасности информационной системы (то есть к нарушению ее конфиденциальности, целостности и доступности). |
| Уязвимость | Слабое звено информационной системы, которое, став известным злоумышленнику, может позволить ему нарушить безопасность информационной системы. |
| Удаленный доступ | Процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ. |
| Удаленный пользователь | Пользователь, находящийся на объекте (площадке, филиале), отличном от того, на котором размещаются используемые сетевые ресурсы. |
| Учетная запись | Совокупность данных, хранящихся в информационной системе, необходимых для идентификации и учета пользователя, авторизации и предоставления ему доступа к различным данным. |
| Фактор аутентификации | Метод или средство, используемое для подтверждения подлинности личности, получающей доступ к автоматизированной системе. |
| Фильтрация (filtering) | Процесс приема или отклонения потоков данных в сети в соответствии с определенными критериями. |
| Хэш-код | Строка бит, являющаяся выходным результатом хэш-функции. |
| Хэш-функция | Функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:
|
| Центр сертификации [открытых ключей] (certification authority; CA) | Орган, которому доверяет один или более пользователей в вопросе создания и распределения сертификатов открытого ключа. |
| Шифрование | Обратимое преобразование информации в целях обеспечения конфиденциальности данных. |
| Шлюз безопасности (security gateway) | Точка соединения между сетями, между сегментами сетей или между программными приложениями в различных доменах безопасности, предназначенная для защиты сети в соответствии с существующей политикой безопасности. |
| Экранирование | Функция межсетевого экрана, позволяющая поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области. |
| Электронная подпись | Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. |
| Access token (маркер доступа) | Специальный токен (обычно в формате JWT), который используется в контексте протокола OAuth 2.0 и OpenID Connect для подтверждения того, что пользователь прошел аутентификацию и имеет доступ к определенным ресурсам или приложениям. |
| ADFS (Active Directory Federation Services) | Службы федерации Microsoft Active Directory, программный компонент, используемый в операционных системах Windows Server и предоставляющий пользователям единый доступ (SSO) для входа в системы и приложения, расположенные за пределами организации. Для обеспечения безопасности приложений и реализации федеративной идентификации используется модель управления доступом на основе утверждений (claims). |
| API | Набор правил и протоколов, позволяющий приложениям взаимодействовать друг с другом, обеспечивая интеграцию различных систем и сервисов. |
| API-запрос | Сообщение, которое отправляется от клиентского приложения к API-интерфейсу, содержащее данные или команду для выполнения определённой функции. API-запросы используются для интеграции разных программных систем и обеспечения взаимодействия между ними. |
| Claims (утверждения) | Набор данных, содержащих информацию об аутентифицированном пользователе или клиентском приложении при аутентификации. |
| Enterprise SSO (Enterprise Single Sign-On) | Технология аутентификация пользователей, обеспечивающая единый вход для всех приложений, в которых работает пользователь, включая веб-приложения, Windows-приложения, Java-приложения и приложения для мэйнфреймов. |
| Endpoint | Конечная точка веб-сервиса, к которой клиентское приложение обращается для выполнения определённых операций или получения данных. |
| FAM (Federated Access Management) | Система едино идентификации и аутентификации. |
| gRPC | Фреймворк для удалённых вызовов процедур, основанный на протоколе HTTP/2 и использующий Protocol Buffers (protobuf) для описания интерфейсов и обмена данными между клиентом и сервером, обеспечивающий эффективное взаимодействие между компонентами распределённых систем. |
| Grant type | Метод получения маркеров доступа (Access token) от поставщика удостоверений (Identity Provider, IdP) при работе по протоколу OIDC/OAuth 2.0. |
ID Token (маркер идентификации) | JWT-токен, используемый в протоколе OIDC/OAuth 2.0 и содержащий утверждения (claims), которые подтверждают личность пользователя и детали сессии. ID Token выдается сервером авторизации, выступающим в качестве провайдера идентификации (IdP) и используется клиентским приложением для подтверждения того, что пользователь прошел аутентификацию. |
| IIS (Internet Information Services) | Проприетарный набор серверов для нескольких интернет-служб, разработанный компанией Microsoft и входящий в состав операционных систем семейства Windows NT. |
| JWT (JSON Web Token) | Формат данных, который используется для передачи информации, содержащий различные утверждения (claims) о пользователе и самом токене. |
| Kerberos | Сетевой протокол аутентификации, поддерживающий механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, использующий криптографию симметричных ключей и требующий наличия центра распределения ключей (KDC или TGS). |
| LDAP (Lightweight Directory Access Protocol) | Протокол доступа к лёгким каталогам, который используется для хранения и управления информацией о пользователях, группах и других объектах в сетевых системах, основанный на протоколе X.500 и предназначен для работы в сетях TCP/IP. |
| LDAP-каталог | Хранилище данных с поддержкой LDAP-протокола. |
| Legacy-системы (унаследованные системы) | Устаревшие методы, технологии, приложения, вычислительные и информационные системы, продолжающие использоваться. |
| MFA (многофакторная аутентификация) | Процедура проверки подлинности пользователя посредством сопоставления сообщенного им идентификатора и последовательной проверки нескольких подтверждающих факторов. |
| MS AD (Microsoft Active Directory) | Служба каталогов корпорации Microsoft для операционных систем семейства Windows Server. |
| NAS-сервер | Сервер доступа к сети (Network Access Server), выступающий в роли клиента при работе по RADIUS-протоколу, отвечающий за передачу информации о пользователе RADIUS-серверу и обеспечивающий аутентификацию, авторизацию и учёт пользователей. |
| OAuth 2.0 | Протокол авторизации, который предоставляет одному приложению ограниченный доступ к данным пользователя на другом сервисе без необходимости передавать логин и пароль. Вместо этого приложение получает временный токен, разрешающий ему выполнять только те действия, к которым у него есть доступ. |
| OpenID Connect (OIDC) | Межплатформенный протокол аутентификации, основанный на спецификации OAuth 2.0 (RFC 6749 и RFC 6750), упрощающий процесс проверки подлинности пользователей и получения информации о профиле пользователя в совместимом с REST формате. |
| OTP-токен (one-time password token) | Программный или программно-аппаратный инструмент аутентификации, который генерирует уникальные временные коды, использующиеся для проверки личности пользователя. |
| Push-уведомление | Короткое всплывающее сообщение, которое приходит пользователям в приложении или браузере. |
| RADIUS (Remote Authentication Dial-In User Service) | Сетевой протокол, который обеспечивает централизованную аутентификацию, авторизацию и учёт пользователей. Описан в стандартах RFC 2865 и RFC 2866. |
| RDG (Remote Desktop Gateway) | Сервис от Microsoft для организации защищенного удаленного доступа к рабочим столам по протоколу RDP. |
| RDP (Remote Desktop Protocol) | Протокол удаленного рабочего стола, позволяющий пользователю подключаться и работать с удаленным сервером. |
| Refresh token (маркер обновления) | Специальный долгосрочный токен (обычно в формате JWT), который используется в контексте протокола OAuth 2.0 и OpenID Connect для получения новых краткосрочных маркеров доступа (access token) без необходимости повторной аутентификации пользователя. |
| Reverse Proxy (Обратный прокси-сервер) | Технология подключения веб-приложений, использующая прокси-сервер для ретрансляции запросов клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. |
| Resource (объект доступа) | Группа claims (утверждений), которые могут быть запрошены при помощи настроенных scopes (областей доступа). |
| REST API | Архитектурный стиль API, основанный на принципах REST (Representational State Transfer) архитектуры, использующий уникальные идентификаторы ресурсов (URI) и HTTP-методы для взаимодействия с ресурсами и обмена данными между клиентской и серверной частями программного обеспечения. |
| SAML (Security Assertion Markup Language) | Открытый федеративный стандарт, который позволяет поставщику идентификационных данных (IdP) выполнять аутентификацию пользователей и передавать учётные данные аутентификации или идентификаторы другому приложению, известному как поставщик услуг (SP). |
| Scopes (области действия) | Параметры, определяющие какие данные о пользователе может получить приложение во время аутентификации пользователя. |
| SIEM (Security information and event management) | Класс специализированных программных продуктов, предназначенных для управления событиями безопасности в реальном времени (Security Event Management) и управления информацией о безопасности с акцентом на долгосрочное хранение и анализ данных (Security Information Management). |
| SLO (Single logout) | Функция, предназначенная для завершения нескольких сеансов аутентификации, выполняя для этого только одно действие выхода из информационной системы. |
| SSO (Single sign-on) | Метод аутентификации, позволяющий пользователям безопасно получать доступ к множеству приложений и/или веб-сайтов с помощью одного набора учетных данных, уменьшая за счет этого количество имен и паролей, которые необходимо запомнить. |
| SP (Service Provider) | Поставщик услуг, который предоставляет доступ к своим сервисам пользователям через систему идентификации и аутентификации. |
| TOTP (Time-based One-time Password) | Метод создания одноразовых паролей для защищённой аутентификации, использующий время в качестве параметра для генерации одноразового кода. |
| URI (Uniform Resource Identifier) | Унифицированный идентификатор ресурса, который представляет собой последовательность символов, идентифицирующую какой-либо ресурс в сети. |
| URL (Uniform Resource Locator) | Унифицированный определитель местонахождения ресурса, который указывает адрес ресурса в сети.,содержит информацию о протоколе доступа к ресурсу, расположении сервера, номере порта и точном местоположении ресурса на сервере. |
| VDI (Virtual Desktop Infrastructure) | Технология виртуализации рабочих мест, обеспечивающая использование вычислительных мощностей и информационных систем локального сервера при подключении пользователя к виртуальному рабочему месту на сервере с удаленного устройства. |
| VPN (Virtual Private Network) | Технология, позволяющая создавать защищённое сетевое соединение поверх другой сети. |
| RD Gateway | Сервер, позволяющий авторизованным пользователям подключаться к ресурсам и приложениям на локальных компьютерах через интернет. RD Gateway использует протокол RDP для создания безопасного соединения между внешними пользователями и внутренними сетями, обеспечивая шифрование и мониторинг подключений. |
| RDP (Remote Desktop Protocol) | Технология, которая позволяет пользователям подключаться к удаленному компьютеру или серверу и управлять им с помощью своего локального компьютера или другого устройства. |
| WAL (Write-Ahead Logging) | Метод обеспечения целостности данных, основанный на том, что изменения в файлах с данными, в которых содержатся таблицы и индексы, записываются только тогда, когда эти изменения внесены в Журнал предзаписи (WAL), т. е. после того как записи WAL, описывающие произошедшие изменения, сохранены на постоянном устройстве хранения. |
-
Документация по линейке продуктов
- 3. Обзор продукта
-
4. Установка и настройка
- 4.2. Установка базового серверного компонента
- 5. Администрирование