Вы находитесь на странице: 1из 48

Автоматизированная информационно-

аналитическая система «А-СТЕК»


Специализированное решение
Безопасность
Руководство пользователя
Версия 1.0.1 01.09.2020

OOO «АЙТИУРСОФТ» www.itursoft.ru


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

1. Содержание
1. Содержание................................................................................................................................2
2. История изменений...................................................................................................................3
3. Глоссарий...................................................................................................................................4
4. Описание....................................................................................................................................9
4.1. Общее...................................................................................................................................9
4.2. Уровни представления.......................................................................................................9
4.2.1. Уровень объектов разработки....................................................................................9
4.2.3. Конфигурационный уровень....................................................................................10
4.2.4. Уровень организационной структуры.....................................................................10
4.2.5. Уровень оборудования..............................................................................................11
4.2.6. Уровень функциональных моделей.........................................................................12
4.3. Прочее................................................................................................................................12
5. Требования...............................................................................................................................13
6. Функции....................................................................................................................................14
6.1. SS-S/ITAA/1 Формирование организационной структуры компании........................14
6.2. SS-S/ITAA/2 Формирование структуры конфигурации...............................................15
6.3. SS-S/ITAA/3 Формирование структуры допуска..........................................................17
6.4. SS-S/ITAA/4 Формирование реестра оборудования (сеть)..........................................19
6.5. SS-S/ITAA/5 Формирование реестра оборудования (реестр)......................................21
6.6. SS-S/ITAR/1 Профиль......................................................................................................23
6.7. SS-S/ITAR/2 ПрофильСравнение....................................................................................24
6.8. SS-S/ITAR/3 СвязанныеУЗ..............................................................................................25
6.9. SS-S/ITAR/4 Оргструктура..............................................................................................26
6.10. SS-S/ITAR/5 КонтрольУЗ..............................................................................................27
6.11. SS-S/ITAR/6 Актив.........................................................................................................28
6.12. SS-S/ITAR/7 КонтрольДопуска.....................................................................................29
6.13. SS-S/ITAS/1 ИнформацияУЗ.........................................................................................31
6.14. SS-S/ITAS/2 БлокировкаУЗ...........................................................................................32
6.15. SS-S/ITAS/3 РазблокировкаУЗ......................................................................................32
6.16. SS-S/ITAS/4 СменаПароляУЗ........................................................................................33
6.17. SS-S/ITAS/5 РеконструкцияКода..................................................................................33
6.18. SS-S/ITSS/1 Формирование опорных файлов для структуры конфигурации..........35
6.19. SS-S/ITSS/2 Формирование опорных файлов оборудования (WMI).........................39
6.20. SS-S/ITSS/3 Формирование опорных файлов оборудования (SSH)..........................41
7. Операции..................................................................................................................................45
7.1. Определение сервисного коннектора.............................................................................45
8. Решение проблем.....................................................................................................................47
8.1. Ошибки клиентской части...............................................................................................47
8.2. Ошибки сервисов..............................................................................................................47
9. Контактная информация.........................................................................................................48

OOO «АЙТИУРСОФТ» www.itursoft.ru 2


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

2. История изменений
Версия Дата Описание
1.0.0 01.07.2020 Первоначальная редакция
1.0.1 01.09.2020 Актуализация документации, формирование объектов
конфигурации

OOO «АЙТИУРСОФТ» www.itursoft.ru 3


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

3. Глоссарий
Актив – некоторый элемент, созданный в процессе существования среды предприятия

Среда предприятия – совокупность активов различного происхождения, в результате


взаимодействия или использования которых обеспечивается функционирование
предприятия

Автоматизированная информационно-аналитическая система «А-СТЕК» (АИАС) –


набор инструментов, предназначенный для решения задач учета и обслуживания среды
предприятия

Потребитель – физическое или юридическое лицо, использующее компоненты АИАС для


решения задач учета и обслуживания среды предприятия

Пользователь – лицо, непосредственно использующее компоненты АИАС – модули или


структуры БД для решения задач потребителя

Компонент АИАС (компонент решения) – подсистема, модуль или иное


дополнительное программное обеспечение, в рамках основного, специализированного или
расширяющего решений

Модуль АИАС – логический связанный набор элементов решения, среды их исполнения,


совокупности механизмов взаимодействия с пользователем
 ITC – модуль для управления настройками и доступом к АИАС
 ITA – модуль для обработки данных среды предприятия средствами АИАС
 ITS – модуль для сервисной обработки АИАС и среды предприятия

Формат распространения – способ организации набора файлов (вид, состав и характер),


доступных для загрузки потребителем, в целях использования и/или адаптации
 Формат исходных файлов - исходный код приложений, библиотек, объектов БД,
скрипты для сборки
 Формат исполняемых файлов - исполняемые файлы конкретной платформы

Пакет распространения (решение) - совокупность элементов, представленная в


определенном формате распространения, предполагающая создание набора ценностей для
конечного потребителя и реализации определенных технических, бизнес и прочих
функций, логически организованная в некоторый набор функций решения в рамках
определенного домена
 Основное решение - набор элементов, необходимый для функционирования
базового функционала
 Специализированное решение - набор элементов, имеющих общую прикладную
область
 Расширяющее решение - набор элементов, повышающий функциональность
основного или специализированного решения, за счет интеграции со сторонним
функционалом

Базовый функционал – минимально достаточный набор элементов АИАС,


обеспечивающий ее запуск и функционирование, а также запуск прочих элементов АИАС

OOO «АЙТИУРСОФТ» www.itursoft.ru 4


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Прикладная область – логически выделенная или функционально определенная часть
активов среды предприятия и процессы ее обслуживания или преобразования

Функция решения - некоторая ценность для потребителя системы, создаваемая


выполнением определенной последовательности элементов решения или определенного
элемента

Домен функции решения - область получения конечной ценности для потребителя,


ограниченная функциональностью конечного продукта некоторого вендора, технологией
или платформой

Элемент решения – логически/физически выделенный объект или группа объектов –


представленная как файл, сценарий, пакет, библиотека, компонент, приложение,
рассматриваемая для обоснованного применения в рамках АИАС
 Основные - представляют собой обязательные библиотеки, разработанные в
рамках АИАС, программные пакеты модулей АИАС, соответствующие схемы БД
(рус-О/ лат-P)
 Дополнительные - стороннее ПО и компоненты, библиотеки и утилиты,
настоятельно рекомендуемые к применению, не являющиеся разработками в
составе АИАС, значительно повышающие ее возможности, область применения
или доступный функционал (рус-Д/ лат-А)
 Расширяющие - стороннее ПО и компоненты, библиотеки и утилиты,
рекомендуемые к применению, не являющиеся разработками в составе АИАС,
расширяющие ее возможности или доступный функционал, используемые вне
интерфейса АИАС (рус-Р/ лат-Х)
 Инструментальные - прочее ПО, компоненты, библиотеки и утилиты,
разработанные в рамках АИАС, предназначенные для реализации функционала
основного, специализированного или расширяющего решения, реализующие свое
применение за счет основных элементов решения (рус-И/ лат-I)

Инструментальные элементы модуля ITA – инструментальные элементы, применяемые


в среде модуля ITA
 Агенты – модули на языке Python, необходимые объекты БД и прочие
необходимые ресурсы, предназначенные для обработки данных некоторого
фрагмента среды предприятия, для формирования структуры, сбора или расчета
необходимых показателей
 Отчеты – модули на языке Python, необходимые объекты БД и прочие
необходимые ресурсы, предназначенные для формирования некоторого описания
среды предприятия, загруженной в АИАС или представления определенных
показателей среды предприятия
 Сервисы – модули на языке Python, необходимые объекты БД и прочие
необходимые ресурсы, предназначенные для выполнения определенных действий
над элементами среды предприятия или данных АИАС

Инструментальные элементы модуля ITS – инструментальные элементы, применяемые


в среде модуля ITS
 Сервисы - модули на языке Python, необходимые объекты БД и прочие
необходимые ресурсы, предназначенные для выполнения определенных действий
над элементами среды предприятия или данных АИАС

OOO «АЙТИУРСОФТ» www.itursoft.ru 5


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Компонент актива среды предприятия (компонент) – логическая единица
представления данных актива среды предприятия в АИАС, определяет набор базовых
артефактов – имя, тип, номер переопределения

Версия компонента актива среды предприятия (версия) – логическая единица


представления данных актива среды предприятия в АИАС, характеризующая состояние
актива в некоторый момент времени, определяет такие артефакты как время создания,
состояние и т.п.

Узел актива среды предприятия (узел) – обозначение актива среды предприятия в


АИАС в конкретный момент времени, т.е. обозначение компонента и его версии

Опорный файл узла – текстовое представление узла актива – последовательность команд


для создания, некоторое описание, стандартное или принятое в рамках домена среды
предприятия, загружаемое в АИАС в рамках соответствующего специализированного
решения, для обеспечения детального контроля изменений

Соединение версий/узлов (соединение) – логическая структура, описывающая характер


взаимодействия между версиями компонентов – направление, артефакты и т.п.

Соединения структуры – набор типов соединений, описывающий позицию активов


среды предприятия – «содержит» или «родитель»-«потомок»

Соединения поведения – набор типов соединений, описывающих взаимодействие


активов среды предприятия – передача управления, упоминание, включение,
наследование

Сигнатура соединения – контрольная последовательность атрибутов и их значений,


применяемая для соединений поведения (передача управления), относительно сигнатуры
взаимодействующего узла (аргументов и значений по умолчанию)

Локация – способ уникальной идентификации актива среды предприятия, представляет


собой последовательную записей соединений структуры для некоторого узла АИАС,
отображаемую в виде упрощенного дерева потомков

Трек – набор идентификационных и основных данных некоторой активности,


реализуемой для модификации характеристик актива среды предприятия, ведущейся в
некоторой системе учета задач, проектов, обращений или документооборота предприятия

Трек-система – система учета задач, проектов, обращений или документооборота


предприятия

Экстрактор – набор параметров подключения и инструкций по преобразованию или


извлечению, для получения некоторых данных актива среды предприятия, имеющих
цифровое выражение в определенный момент времени

Домен активов среды предприятия – некоторая логическая группа активов среды


предприятия и их составных элементов, ограниченная каким либо признаком –
физическим размещением (файлы каталога), технологией или вендором (СУБД)

OOO «АЙТИУРСОФТ» www.itursoft.ru 6


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Каркас домена – представление в АИАС некоторого домена активов среды предприятия,
сформированное в некоторый момент времени, включающее наиболее полное количество
активов (без фильтрации), формируется агентами - менторами

Агент-ментор (ментор) – агент, предназначенный для формирования каркаса для домена


активов среды предприятия

Патч – техническое представление домена активов среды предприятия, сформированное


некоторым агентом

Патч-сет – совокупность патчей

Процесс обработки патча – процесс модификации данных АИАС в части узлов, их


соединений, артефактов или прочей информации, за счет последовательного
преобразования данных патча – позитивных соединений (создание/модификация узлов в
структуру АИАС) и негативных соединений (исключение узлов из структуры АИАС)

Позитивные соединения – вид технических соединений патча, определяющих


существование узла или связей между узлами АИАС

Негативные соединения – вид технических соединений патча, определяющих отсутствие


связей между узлами АИАС, сформированные в процессе обработки патча, или
полученные в результате работы агента (за счет использования аудита)

Индекс моделей – способ логической организации моделей (страниц), предполагает


использование иерархии: Книга – Том – Глава – Страница. Диалог индекса может
использоваться как для выбора необходимой страницы, так и для редактирования
структуры индекса

Модель – определяемая пользователем совокупность мета-информации, элементов и их


соединений, описывающая последовательность действий или структуры произвольной
сложности, записанная с применением нотации BPMN или ее расширения

Элемент модели (элемент) – некоторая сущность описываемой области, может обладать


связностью (быть связанной с некоторым компонентом АИАС), и иметь набор
специфических артефактов и модификаторов

Соединение элементов (соединение) – направленная сущность, определенная между


двумя элементами модели, может иметь набор специфических артефактов

Задание отслеживания – созданный пользователем набор параметров, связанный с узлом


АИАС, представляющим критический актив среды предприятия, и определяющий способ
обнаружения изменений (фильтры) и реакции на них (настройка канала уведомления).
Задание отслеживания выполняется в рамках определенного периода, соответствующим
инструментальным элементов модуля ITS и формирует перечень идентификаторов
событий изменения

Идентификатор события изменения – некоторый уникальный идентификатор системы,


позволяющий определить состояние целевого узла задания отслеживания, может
представлять собой идентификатор версии целевого узла или код ревизии СКВ,
содержащий опорный файл соответствующего компонента

OOO «АЙТИУРСОФТ» www.itursoft.ru 7


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Реакция задания отслеживания - формирование уведомления по электронной почте при
выявлении изменений в целевом узле или его структуре и, определяемое пользователем,
применение сервиса АИАС для целевого узла

Целевой узел (компонент) задания отслеживания – параметр задания отслеживания,


определяющий единственный узел или их совокупность (структуру), попадающих под
анализ

Целевой период задания отслеживания – период, в рамках которого, инструментальные


элементы модуля ITS выполняют поиск изменений в рамках активных заданий
отслеживания

Структура допуска - связь конкретных узлов сотрудников уровня организационной


структуры с узлами учетных записей БД и приложений конфигурационного уровня

OOO «АЙТИУРСОФТ» www.itursoft.ru 8


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

4. Описание
4.1. Общее
Общие сведения о функциональной структуре специализированного решения, его
назначении и базовых сценариях применения размещены в документе
Специализированное решение Безопасность Концепт.

4.2. Уровни представления


Данный раздел содержит основные сведения об уровнях представления среды
предприятия, их структуры и предполагаемых связях, на которые распространяется
действие функций и операций текущего решения. Более подробная информация о типах
компонентов и соединений может быть сформирована с использованием функций
основного решения MS/ITAR/4 и MS/ITAR5.

4.2.1. Уровень объектов разработки


Уровень объектов разработки (DEV) - предназначен для размещения узлов,
соответствующих таким активам среды предприятия, как базы данных, файловые или
сетевые ресурсы. Текущая реализация основного решения предполагает использование
следующих групп, относительно данного уровня:
 Базы данных (DBS)
 Контейнеры кода (CCF)

Ниже приведена схема группы для размещения узлов соответствующих базам данных и
их объектов:

Более подробную информацию об элементах данной группы можно найти в разделе


Основное решение Руководство пользователя – Функции (в части обработки данных БД).

Для размещения элементов контейнеров кода используется следующая схема:

OOO «АЙТИУРСОФТ» www.itursoft.ru 9


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Более подробную информацию об элементах данной группы можно найти в разделе


Основное решение Руководство пользователя – Функции (в части обработки данных
контейнеров кода).

4.2.3. Конфигурационный уровень


Уровень конфигурационных объектов (CNF) - предназначен для размещения,
представления и обработки элементов, описывающих наборы объектов полномочий и
учетные записи, используемые для доступа к активам среды предприятия. Объекты
данного уровня могут быть связаны с уровнем объектов разработки в части объектов БД.

Схема структуры уровня и пример связи приведена на иллюстрации ниже:

Более подробную информацию об элементах данной группы можно найти в разделе


Специализированное решение Безопасность Руководство пользователя – Функции (в
части обработки данных конфигурации БД).

4.2.4. Уровень организационной структуры


Уровень организационной структуры (HCM) - предназначен для размещения,
представления и обработки иерархии самого предприятия, человеческих ресурсов.
Специализированное решение Безопасность ориентировано на обработку узлов данного
уровня в связке с узлами конфигурационного уровня.

Схема структуры уровня и пример связи приведена на иллюстрации ниже:

OOO «АЙТИУРСОФТ» www.itursoft.ru 10


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Более подробную информацию об элементах данной группы можно найти в разделе


Специализированное решение Безопасность Руководство пользователя – Функции (в
части формирования данных и формирования отчетов).

4.2.5. Уровень оборудования


Уровень оборудования (HDW) - предназначен для размещения, представления и
обработки физических объектов среды предприятия – ЦОДы, сервера, массивы.

Возможные подходы для ведения структуры уровня приведены на иллюстрации ниже:

Данный пример предполагает использование следующих подходов, при наполнении


уровня исходя из потребностей организации и ее размера:
 Крупное предприятие – предполагается выделение групп ЦОДов в соответствии с
решаемой задачей (тест/разработка или резерв) и ведение структуры сервер
(hdw.server) + вычислительный узел/РМ (hdw.unit)
 Среднее предприятия – ведение данных по нескольким ЦОДам и ведение
структуры сервер (hdw.server) + вычислительный узел/РМ (hdw.unit)
 Малое предприятие – ведение групп оборудования (рабочие
места/автоматизированные РМ) и ведение структуры сервер (hdw.server) +
вычислительный узел/РМ (hdw.unit)
OOO «АЙТИУРСОФТ» www.itursoft.ru 11
АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Более подробные сведения по созданию узлов уровня содержатся в разделах Модуль


IT(A) Руководство пользователя – Операции – Редактирование структуры узла и
Специализированное решение Безопасность – Функции (в части формирования реестров
оборудования).

4.2.6. Уровень функциональных моделей


Уровень функциональных моделей (FM) - предназначен для размещения, представления и
обработки иерархии функциональный схем, моделей, процессов предприятия. Конечные
элементы данного уровня (fm.page) используются для хранения функциональных
моделей, управляемых в консоли модуля.

Схема структуры уровня приведена на иллюстрации ниже:

Более подробные сведения об управлении узлами уровня содержатся в разделах Модуль


IT(A) Руководство пользователя – Операции – Редактирование индекса моделей и
Редактирование структуры узла.

4.3. Прочее
Последующие разделы документа, содержат описания функций специализированного
решения, включающие выполняемые операции, необходимые элементы интерфейса и
прочие задействованные компоненты модулей АИАС.

Рекомендуем использовать актуальные версии решений и модулей, полученные с


официального сайта – http://www.itursoft.ru.

OOO «АЙТИУРСОФТ» www.itursoft.ru 12


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

5. Требования
Успешное применение описываемого решения, основано на выполнении требований,
ранее определенных в следующих документах:
 Основное решение Развертывание
 Специализированное решение Безопасность Развертывание
Действующая версия описываемого решения не содержит дополнительных требований
для обеспечения функционирования.

OOO «АЙТИУРСОФТ» www.itursoft.ru 13


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

6. Функции
Данный раздел предназначен для краткого описания основных компонентов приложения,
их структуры и элементов приложения

6.1. SS-S/ITAA/1 Формирование организационной структуры


компании
Данная функция разработана для загрузки в АИАС сведений об организационной
структуре организации – подразделениях, ролях (должностях/штатных единицах) и
персонале.

Данная функция реализуется следующими инструментальными элементами модуля IT(A):


 hcminstagent_1 – агент для загрузки организационной структуры компании на
основе подготовленного файла. Для запуска агента необходима настройка
следующих параметров:
параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
используется
<rtype> <file> обозначение домена для вызова агента

Агенты, реализуемые в рамках функции, обладают следующими особенностями:


 используются для пакетной обработки
 не имеют флагов фильтрации верхнеуровневых контейнеров или типов
 корневым компонентом для обработки агентом - является уровень
организационной структуры

Текущая реализация функции предполагает использование подготовленного реестра


следующего формата (разделитель – «:»):
 тип объекта – P/PERSON - сотрудник, U/UNIT - подразделение, R/ROLE - роль;
 код объекта – уникальный сквозной идентификатор для объектов любых типов;
 код связанного объекта – для типа P – код занимаемой должности, для типов R/U –
код родительского подразделения (в рамках которого существует определяемое),
отсутствие значения в данной позиции означает, что подразделение/роль являются
руководящими для организации, в случае лица – отсутствие для него штатной
должности;
 обозначение объекта – ФИО сотрудника/название должности или подразделения;

OOO «АЙТИУРСОФТ» www.itursoft.ru 14


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
 набор метрик объекта - пары в виде ключ=значение (разделитель «;»),
используются для сохранения метрик на объект, например – ip-адрес, имя
локального пользователя, телефон и т.д.1;

Ниже приведен упрощенный пример файла в необходимой для обработки структуре:


P:1:101:павлов павел:bd=1983-11-9;sn=1122333314;ip=192.168.200.1
p:2:102:петров петр:ip=192.168.200.2
p:3:103:николаев николай:ip=192.168.200.4
r:101::генеральный директор
r:102::помошник генерального:bd=1980-05-22;sn=4445566443;
u:1001::блок развития:tn=444;c1=340
r:103:1001:руководитель блока

В результате обработки подобного файла будут созданы следующие узлы уровня


организационной структуры:
 CHART – узел для хранения организационной структуры
o Роль «ГЕНЕРАЛЬНЫЙ ДИРЕКТОР 101» – включает сотрудника «ПАВЛОВ
ПАВЕЛ 001»
o Роль «ПОМОШНИК ГЕНЕРАЛЬНОГО 102» – включает сотрудника
«ПЕТРОВ ПЕТР 002»
o Подразделение «БЛОК РАЗВИТИЯ 10012
 Роль «РУКОВОДИТЕЛЬ БЛОКА 103» – включает сотрудника
«НИКОЛАЕВ НИКОЛАЙ 003»
 STAFF – узел для хранения данных сотрудников
o сотрудник «ПАВЛОВ ПАВЕЛ 001» (и соответствующие метрики)
o сотрудник «ПЕТРОВ ПЕТР 002» (и соответствующие метрики)
o сотрудник «НИКОЛАЕВ НИКОЛАЙ 003» (и соответствующие метрики)

6.2. SS-S/ITAA/2 Формирование структуры конфигурации


Функция предназначена для формирования в АИАС наборов объектов учета прав доступа
– учетных записей пользователей, объектов полномочий (ролей) и контролируемых
настроечных объектов, с учетом целевого домена и целевой группы (БД или приложение).

Данная функция реализуется следующими инструментальными элементами модуля IT(A):


 cnfinstagentdb_1 – формирование каркаса конфигурационных объектов для БД
Oracle. Для запуска агента необходима настройка следующих параметров:
параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
1
Данный элемент файла является необязательным

OOO «АЙТИУРСОФТ» www.itursoft.ru 15


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
используется
<rtype> <db> обозначение домена для вызова агента

cnfinstagentmydb_1 – формирование каркаса конфигурационных объектов для БД


MySQL. Для запуска агента необходима настройка следующих параметров:
параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
используется
<rtype> <mydb> обозначение домена для вызова агента

cnfinstagentaias_1 – формирование каркаса конфигурационных объектов для


приложения АИАС. Для запуска агента необходима настройка следующих
параметров:
параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
используется
2
<rtype> <db> обозначение домена для вызова агента

Агенты, реализуемые в рамках функции, обладают следующими особенностями:


 используются для пакетной обработки
 не имеют флагов фильтрации верхнеуровневых контейнеров или типов
 корневым компонентом для обработки агентом - является конфигурационный
уровень хранилища

Агенты данной функцию формируют следующую иерархию объектов:


тип: cnf.area тип: cnf.group тип: cnf.party тип – соответствует
2
Учитывая тип БД используемой для АИАС

OOO «АЙТИУРСОФТ» www.itursoft.ru 16


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
родительскому узлу
(см.ниже)
Соответствует соответствует USERS-контейнер cnf.user
имени целевой БД заданной для агента для узлов,
– соответствующих
DB/ПРИЛОЖЕНИЕ пользователям
ROLES-контейнер cnf.role
для узлов,
соответствующих
ролям (или
соответствующим
объектам)
OBJECTS-контейнер cnf.object
для узлов,
соответствующих
объектам контроля
контента

При формировании узлов уровня, для них снимаются основные параметры, определенные
целевой группой и доменом – статусы, признаки и флаги, а также хеш-суммы,
рассчитываемые для связанных объектов. Что, в свою очередь, позволять отслеживать
изменения данных объектов (соответствующих узлов АИАС) без применения
расширяющего решения xs-svn.

6.3. SS-S/ITAA/3 Формирование структуры допуска


Функция решения предназначена для ведения средствами АИАС структуры допуска –
реестра сотрудников предприятия и разрешенных для использования учетных записей БД
и приложений, образующих среду предприятия.

Данная функция реализуется следующими инструментальными элементами модуля IT(A):


 hcmmapagent_1 – агент для загрузки связей организационной структуры компании
и данных учетных записей для конфигурационного уровня, на основе
подготовленного файла.

Для запуска агента необходима настройка следующих параметров:


параметр значение описание
!connection @!connection флаг использования в процессе
работы агента дополнительного
подключения к основной БД АИАС
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам

OOO «АЙТИУРСОФТ» www.itursoft.ru 17


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
назначенного агенту узла) – не
используется
<rtype> <file> обозначение домена для вызова агента

Агенты, реализуемые в рамках функции, обладают следующими особенностями:


 используются для пакетной обработки
 не имеют флагов фильтрации верхнеуровневых контейнеров или типов
 корневым компонентом для обработки агентом - является дочерний узел STAFF
уровня организационной структуры (узел, выступающий хранилищем данных
персонала организации)

Текущая реализация функции предполагает использование подготовленного реестра


следующего формата (разделитель – «:»):
 тип объекта – P/PERSON – сотрудник;
 код объекта – код, соответствующий коду сотрудника, указанного при загрузки
данных по функции SS-S/ITAA/1;
 имя целевой системы – имя БД, средствами которой ведется управление учетными
записями пользователей системы;
 имя целевой группы – DB-для обозначения доступа на уровне БД,
ИМЯ_ПРИЛОЖЕНИЯ-для обозначения доступа на уровне приложения, или «*»-
для обозначения доступа для всех известных в АИАС групп целевой системы;
 имя пользователя-имя учетной записи, которой может пользоваться сотрудник в
рамках целевой системы/группы;

Ниже приведен упрощенный пример файла в необходимой для обработки структуре:


P:1:CMDB:AIAS:MANAGER
P:1:CMDB:DB:ITA
P:1:CMDB:AIAS:BOT
p:8:MARIADB:*:ADMINER
P:8:CMDB:*:BOT
P:8:CMDB:AIAS:OPERATOR
p:4:mysql:DB:ROOT

При обработке данного файла будет зафиксирована следующая структура допуска (связь
конкретных узлов сотрудников уровня организационной структуры с узлами учетных
записей БД и приложений конфигурационного уровня):
o Сотрудник с кодом «1» имеет доступ к следующим учетным записям:
o Система CMDB (основная БД АИАС)
 Приложения АИАС – учетная запись MANAGER
 Приложения АИАС – учетная запись BOT
 БД – учетная запись ITA
o Сотрудник с кодом «8» имеет доступ к следующим учетным записям:
o Система/БД CMDB (основная БД АИАС)
 Приложения АИАС – учетная запись OPERATOR
 Все приложения и БД (определенные в АИАС на момент загрузки
данных) – учетная запись BOT
o Система/БД MARIADB (некоторая БД организации)
 Все приложения и БД (определенные в АИАС на момент загрузки
данных) – учетная запись ADMINER
o Сотрудник с кодом «4» имеет доступ к следующим учетным записям:
o Система/БД MYSQL (некоторая БД организации)

OOO «АЙТИУРСОФТ» www.itursoft.ru 18


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
 БД – учетная запись ROOT

Для внесения корректировок в структуру допуска необходимо:


o В случае добавления нового сотрудника организации или добавления учетных
записей
o Изменить связи соответствующего узла (подробная информация содержится
в документе Основное решение Руководство пользователя – Операции –
Редактирование структуры узла)
o Добавить соответствующие строки для целевых учетных записей (и
соответствующих систем/групп)
o В случае отзыва прав
o Изменить связи соответствующего узла (подробная информация содержится
в документе Основное решение Руководство пользователя – Операции –
Редактирование структуры узла)
o Использовать специальный маркер отзыва допуска при формировании
файла допуска (см. пример ниже):
P:8:CMDB:DB:-
P:4:CMDB:AIAS:-
P:3:CMDB:-:-
P:6:-:-:-

В данном примере при обработке файла допуска:


o для сотрудника с кодом 8, в данных АИАС, будет зафиксирован отзыв
разрешения на доступ к имеющимся учетным записям для БД системы
CMDB;
o для сотрудника с кодом 4, в данных АИАС, будет зафиксирован отзыв
разрешения на доступ к имеющимся учетным записям для приложения
АИАС системы CMDB;
o для сотрудника с кодом 3, в данных АИАС, будет зафиксирован отзыв
разрешения на доступ к имеющимся учетным записям для системы
CMDB (БД и приложения);
o для сотрудника с кодом 6, в данных АИАС, будет зафиксирован отзыв
разрешения на доступ ко всем имеющимся учетным записям всех
известных систем;

Информация об отзыве доступа может быть обработана в файле совместно с информацией


о предоставлении доступа. Таким образом, один файл может содержать как информацию
о предоставлении доступа некоторому сотруднику, так и информацию об отзыве
имеющихся доступов. Например:
P:8:CMDB:AIAS:OPERATOR
P:8:CMDB:DB:-

В данном случае, для сотрудника с кодом 8 в данные АИАС вносится информация о


предоставлении доступа к учетной записи OPERATOR приложения AIAS группы CMDB,
и фиксируется отзыв доступа для всех учетных записей (ранее предоставленных) для БД
группы CMDB.

6.4. SS-S/ITAA/4 Формирование реестра оборудования (сеть)


Функция предназначена для создания на базе АИАС актуального реестра активов
оборудования, имеющих активный сетевой адрес и определенные открытые порты.

OOO «АЙТИУРСОФТ» www.itursoft.ru 19


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Определение активности оборудования происходит за счет сканирования заданной
подсети и реестра целевых портов.
Данная функция реализуется следующими инструментальными элементами модуля IT(A):
 hdwnetagent_1 – построение реестра узлов оборудования на основе результатов
сканирования сети.

Для запуска агента необходима настройка следующих параметров:


параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
используется
<rtype> <localnet> обозначение домена для вызова агента
ipv4base 192.168.200.1 целевая подсеть (используются
первые три группы)
lowerval 1 нижний диапазон адресов
upperval 256 верхний диапазон адресов

В качестве дополнительных параметров могут быть указаны следующие параметры:


ports 1,2,3,4... реестр портов, проверяемых на узле

При отсутствии данного параметра производится сканирование следующих портов:


o 135, # MSRPC
o 445, # MICROSOFT-DS
o 22, # SSH
o 161, # SNMP
o 443, 9443, # HTTPS
o 1521, 1526, 1527, # ORACLE DB
o 1433, # MS SQL
o 5432, # POSTGRESQL
o 5000, # SYBASE
o 1352, # LOTUS DB
o 3050, # FIREBIRD
o 3306, # MYSQL
o 20, # FTP-DATA
o 21, # FTP
o 23, 992, # TELNET
o 25, # SMTP
o 53, # DNS
o 69, # TFTP

OOO «АЙТИУРСОФТ» www.itursoft.ru 20


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
o 80, 81, 8080, 8081, # HTTP
o 110, # POP3
o 111, # SUNRPC
o 119, # NNTP
o 593, # HTTP-RPC
o 1025, # WIN-RPC
o 1026, # DCOM
o 993, # IMAPS
o 995, # POP3S
o 137, 138, 139, # NETBIOS
o 548, # AFPOVERTCP
o 631, # IPP
o 5500, 5900 # VNC

Агенты, реализуемые в рамках функции, обладают следующими особенностями:


 используются для пакетной обработки
 не имеют флагов фильтрации верхнеуровневых контейнеров или типов
 корневым компонентом для обработки агентом - является узел уровня
оборудования, представляющий собой контейнер для загружаемых активов
(например – ЦОД, группа и т.д.)

6.5. SS-S/ITAA/5 Формирование реестра оборудования (реестр)


Данная функция предназначена для создания узлов АИАС, представляющих
оборудование организации, с более гибкими возможностями по обработке данных, чем
сканирование сети. В рамках реализации функции, загрузка оборудования сопровождается
дополнительной информацией по параметрам оборудования и его дополнительным
компонентам – массивам хранения и сетевым интерфейсам. А также возможна загрузка
данных оборудования, с учетом его композиции, т.е. иерархии ЦОД - сервер -
вычислительная среда/рабочее место.
Данная функция реализуется следующими инструментальными элементами модуля IT(A):
 hdwfileagent_1 – построение реестра узлов оборудования на основе загрузки
локального файла данных.

Для запуска агента необходима настройка следующих параметров:


параметр значение описание
<batch_pre_process> NO флаг вызова процедуры пред-
обработки в пакете агента
<batch_process_allowed> YES флаг разрешения пакетной обработки
<batch_process_autoreject> NO флаг разрешения обработки при
неразрешенных соединениях
<is_mentor> NO флаг определения агента каркаса
<my_mentor> код агента каркаса текущего домена
<rdtc> NO флаг возможности переопределения
верхнеуровневых контейнеров
<rdtype> NO флаг возможности фильтра типов
<rmask> * маска компонента (в случае
определения по дочерним узлам
назначенного агенту узла) – не
используется
<rtype> <file> обозначение домена для вызова агента

OOO «АЙТИУРСОФТ» www.itursoft.ru 21


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Агенты, реализуемые в рамках функции, обладают следующими особенностями:


 используются для пакетной обработки
 не имеют флагов фильтрации верхнеуровневых контейнеров или типов
 корневым компонентом для обработки агентом - является уровень оборудования
или другой узел, выступающий контейнером для загружаемых узлов – ЦОД или
группа (см. краткое описание уровня оборудования)

Текущая реализация функции предполагает использование подготовленного реестра


следующего формата (разделитель – «:»):
 тип объекта – C/ DPC– ЦОД, S/SERVER – сервер, U/UNIT – РМ или
вычислительный узел, I/INF – сетевой интерфейс, D/STORAGE – массив дисков;
 имя объекта;
 имя родительского объекта – имя объекта в рамках обрабатываемого файла или
пусто;
 набор метрик объекта - пары в виде ключ=значение (разделитель «;»),
используются для сохранения метрик на объект, например – вендор, дата поверки,
телефон поддержки и т.д.3;

Для примера рассмотрим следующую конфигурацию оборудования организации:


 Организация располагает одним ЦОДом обозначенным RK11 в городе City1,
вместимостью 15U
 В данном ЦОДе размещены следующие сервера:
o TS1, имеет сетевой интерфейс 192.168.100.1
o TS2, имеет сетевые интерфейсы 192.168.100.100 и 192.168.100.101
 На сервере TS1 подняты виртуальные машины (или находятся следующие узлы
обработки):
o TU1 (назначение PgDB), имеет сетевой интерфейс 192.168.100.10
o TU2 (назначение MyDB) , имеет сетевой интерфейс 192.168.100.110
 На сервере TS2 подняты виртуальные машины (или находятся следующие узлы
обработки):
o TU3 (назначение MongoDB), имеет сетевой интерфейс 192.168.100.111
 Для сервера TS1 подключены следующие дисковые массивы
o RM1
 Для сервера TS1 подключены следующие дисковые массивы
o RM2

Ниже приведен пример файла в необходимой для обработки структуре:


C:RK11::addr=City1;capacity=15U
S:TS1:RK11:vendor=VA1;checked=2000-05-12
S:TS2:RK11:vendor=VA2;upgrade=2048-10-31
I:192.168.100.1:TS1
I:192.168.100.100:TS2
I:192.168.100.101:TS2
U:TU1:TS1:purpose=PgDB
U:TU2:TS1:purpose=MyDB
U:TU3:TS2:purpose=MongoDB
I:192.168.100.10:TU1:mtu=1600
I:192.168.100.110:TU2
I:192.168.100.111:TU3
3
Данный элемент файла является необязательным

OOO «АЙТИУРСОФТ» www.itursoft.ru 22


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
D:RM1:TS1:size=100Gb;speed=1000IOps
D:RM2:TS2:size=200Gb;speed=2000IOps

В результате обработки данного примера, в АИАС будут созданы узлы:


hdw.dpc o addr=City1
RK11 o capacity=15U
hdw.server o vendor=VA1
TS1 o checked=2000-05-12
hdw.interface
192.168.100.1
hdw.unit TU1 o purpose=PgDb
hdw.interface o mtu=1600
192.168.100.10
hdw.unit TU2 o purpose=MyDb
hdw.interface
192.168.100.110
hdw.storage o size=100Gb
RM1 o speed=1000IOps
hdw.server hdw.interface o vendor=VA2
TS2 192.168.100.1 o upgrade=2048-10-31
00
192.168.100.1
01
hdw.unit TU3 o purpose=MongoDb
hdw.interface
192.168.100.111
hdw.storage o size=20Gb
RM2 o speed=200IOps

6.6. SS-S/ITAR/1 Профиль


Назначение
Формирование подробного описания имеющейся в АИАС информации по сотруднику
организации – данные, допуск, связанные треки.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hcm.person:

Настройки
Отсутствуют

Пример
Сформированный отчет содержит следующие разделы:
 Сотрудник – информация относительно текущего подразделения, занимаемой
штатной должности;

OOO «АЙТИУРСОФТ» www.itursoft.ru 23


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
 Персональные данные – прочая информация сотрудника;
 Допуск – реестр учетных записей, к которым сотрудник имеет доступ;
 Треки – реестр задач, связанных с сотрудником (предполагается ведение задач по
предоставлению прав, изменению допуска);

Ниже приведен пример отчета:

6.7. SS-S/ITAR/2 ПрофильСравнение


Назначение
Подробное сравнение профилей сотрудников в разрезе разделов информации.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hcm.person:

Настройки
Пример диалога настройки отчета приведен ниже:

И содержит следующие блоки:


1. Информация текущего узла (LHS) и кнопка сброса измененных данных;
2. Информация целевого для сравнения узла (RHS) и кнопка поиска узла
3. Реестр версий целевого узла с основной информацией

OOO «АЙТИУРСОФТ» www.itursoft.ru 24


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Пример
Сформированный отчет содержит следующие разделы:
 Сотрудник – информация относительно текущего подразделения, занимаемой
штатной должности;
 Персональные данные – прочая информация сотрудника;
 Допуск – реестр учетных записей, к которым сотрудник имеет доступ;

Разделы отчета содержат данные как исходного так и целевого узла, дополненные
индикацией различий.

Ниже приведен пример раздела «Сотрудник» отчета:

Ниже приведен пример раздела «Персональные данные» отчета:

Ниже приведен пример раздела «Допуск» отчета:

Данный раздел строится с дублированием учетных записей доступных для сотрудника для
реализации возможности сравнения4:

4
При использовании расширяющего решения xs-svn

OOO «АЙТИУРСОФТ» www.itursoft.ru 25


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
6.8. SS-S/ITAR/3 СвязанныеУЗ
Назначение
Формирование реестра персонала, относительно структуры исходного узла
организационной структуры предприятия, дополненного данными реестра доступа.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hcm.unit или hcm.chart:

Настройки
Отсутствуют

Пример
Сформированный отчет содержит следующие разделы:
 Доступ – реестр сотрудников, имеющих доступ к учетным записям, относительно
исходного узла и его структуры (дочерних узлов);

Ниже приведен пример отчета:

6.9. SS-S/ITAR/4 Оргструктура


Назначение
Формирование реестра дочерних узлов – подразделений и штатных должностей (данных
подразделений), дополненного данными о сотрудниках, занимающих данные штатные
должности.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hcm.unit или hcm.chart:

Настройки
Отсутствуют

Пример
Сформированный отчет содержит следующие разделы:

OOO «АЙТИУРСОФТ» www.itursoft.ru 26


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
 Структура – реестр подразделений, должностей и занимающих их сотрудников
(при наличии);
 Незанятые – реестр сотрудников, имеющихся в данных персонала организации, но
не имеющих связанных штатных должностей5

Ниже приведен пример раздела «Структура» отчета:

И пример раздела «Незанятые» отчета:

6.10. SS-S/ITAR/5 КонтрольУЗ


Назначение
Данный отчет предназначен для формирования реестра учетных записей целевой группы
или множества подчиненных объектов целевой группы (пользователей), включенных в
структуру допуска для действующих сотрудников организации.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – cnf.group или cnf.party:

Настройки
Отсутствуют

Пример
Сформированный отчет содержит следующие разделы:
 Не используемые – реестр учетных записей для исходного узла, представляющие
собой учетные записи не включенные в структуру допуска;
 Однократно используемые – реестр учетных записей для исходного узла,
включенные в структуру допуска и имеющие только одного связанного активного
сотрудника;
 Множественно используемые - реестр учетных записей для исходного узла,
включенные в структуру допуска и имеющие множественные связи с узлами
сотрудников организации или предполагается использование одной учетной записи
несколькими сотрудниками;
5
Данный раздел отчета формируется только для типа исходного узла – hcm.chart

OOO «АЙТИУРСОФТ» www.itursoft.ru 27


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Ниже приведен пример раздела «Не используемые» отчета:

Пример раздела «Однократно используемые» отчета:

Пример раздела «Множественно используемые» отчета:

6.11. SS-S/ITAR/6 Актив


Назначение
Формирование подробного паспорта оборудования – загруженные параметры и данные
конфигурации.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hdw.server или hdw.unit:

Настройки
Отсутствуют

Пример
Сформированный отчет содержит следующие разделы:
 Свойства – соответствующие свойства компонента узла;
 Метрики – соответствующие метрики исходной версии узла;
 Треки – реестр задач, связанных с активом (предполагается ведение заявок на
обслуживание и ремонт, и т.п.);
 Конфигурация – содержимое опорного файла для узла, сформированного функцией
решения, соответствующей ОС актива;6

Пример раздела «Свойства» сформированного отчета:

Пример раздела «Метрики» сформированного отчета:

6
При использовании расширяющего решения xs-svn

OOO «АЙТИУРСОФТ» www.itursoft.ru 28


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Пример раздела «Треки» сформированного отчета:

Пример раздела «Конфигурация» сформированного отчета:

6.12. SS-S/ITAR/7 КонтрольДопуска


Назначение
Данный отчет предназначен для проведения сверки журналов доступа и загруженной в
АИАС структуры допуска для выявления потенциальных проблем и возможных
нарушений допуска.

Формирование
Формирование отчета производится из консоли моделей или консоли узла для узлов с
типом – hcm.chart:

Настройки
Пример диалога настройки отчета приведен ниже:

И содержит следующие блоки:

OOO «АЙТИУРСОФТ» www.itursoft.ru 29


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
1. Исходный каталог для загрузки журналов доступа;
2. Исходный файл – журнал доступа;
3. Регулярное выражение для маски файлов подлежащих обработки при загрузке из
каталога (при загрузке файла имеет значение «*»);

Обрабатываемые файлы доступа должны быть представлены в следующем формате:


o Ключ идентификации пользователя/сотрудника (в текущей реализации отчета
предполагается использование ip-адреса сотрудника для однозначной
идентификации)
o Отметка времени доступа – в формате YYYYMMDDHH24MISS
o Имя системы
o Имя приложения или отметка БД (для фиксации доступа средствами БД)
o Имя учетной записи

Пример файла соответствующего формата:


192.168.200.81:20200502200000:CMDB:AIAS:BOT
192.168.200.81:20200502200000:CMDB:AIAS:BOT
192.168.200.8:20200502123000:CMDB:AIAS:MANAGER
192.168.200.8:20200502173500:CMDB:AIAS:INSTALLUSER
192.168.200.18:20200502123000:CMDB:AIAS:MANAGER
192.168.200.4:20200502165500:CMDB:AIAS:OPERATOR
192.168.200.17:20200502084500:CMDB:DB:ITA
192.168.200.23:20200502234500:CMDB:AIAS:TESTER
192.168.200.99:20200502235500:CMDB:DB:SYS

Пример
Сформированный отчет содержит следующие разделы:
 Нарушения допуска – реестр зафиксированных доступов к учетным записям
относительно указанной системы, БД или приложения, к которым определенный
по ключу, сотрудник, не имеет доступа в соответствии со структурой допуска;
 Множественный доступ – реестр зафиксированных доступов к учетным записям,
относительно которых, сотрудник, использовал несколько учетных записей,
относящихся к одной группе (например – воспользовался несколькими учетными
записями для БД);
 Неизвестные ключи – реестр доступов, осуществленных относительно неизвестных
ключей идентификации сотрудника. Для текущей реализации отчета
предполагается фиксация факта доступа с ip-адреса, который не соответствует ни
одному активному сотруднику организации;
 Неизвестные учетные записи – реестр доступов, осуществленных относительно
учетных записей, не включенных в структуру допуска;

Ниже приведен пример раздела «Нарушения допуска» отчета:

Пример раздела «Множественный доступ» отчета:

OOO «АЙТИУРСОФТ» www.itursoft.ru 30


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Пример раздела «Неизвестные ключи» отчета:

Пример раздела «Неизвестные учетные записи» отчета:

6.13. SS-S/ITAS/1 ИнформацияУЗ


Функция решения предназначена для получения актуальной информации относительно
учетной записи, соответствующей исходному узлу. Для корректной работы данной
функции необходимо выполнить настройку системного свойства «srvconnector» для
исходного узла или одного из его родительских узлов (см. раздел Операции –
Определение коннектора для узлов»).

Реализуется следующими инструментальными элементами модуля IT(А):


 hcminfouser

Ниже приведен пример вызова сервиса:

И пример данных, возвращаемых для СУБД Oracle:

И СУБД MySQL:

OOO «АЙТИУРСОФТ» www.itursoft.ru 31


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Для блокировки применения сервиса относительно учетной записи, ее метрика «rawname»


должна быть выставлена в значение «-» (текущая реализация агентов формирования
структуры конфигурации БД предполагает простановку признака блокировки для
системных пользователей).

6.14. SS-S/ITAS/2 БлокировкаУЗ


Функция решения предназначена для выполнения блокировки учетной записи,
соответствующей исходному узлу АИАС. Для корректной работы данной функции
необходимо выполнить настройку системного свойства «srvconnector» для исходного узла
или одного из его родительских узлов (см. раздел Операции – Определение коннектора
для узлов»).

Реализуется следующими инструментальными элементами модуля IT(А):


 hcmlockuser

Ниже приведен пример вызова сервиса:

Реализация сервиса, в части механизма выполнения блокировки, зависит от целевого


домена (определяется параметрами глобального коннектора - системного свойства
«srvconnector») и возможности блокировки пользователей средствами СУБД7.

Для блокировки применения сервиса относительно учетной записи, ее метрика «rawname»


должна быть выставлена в значение «-» (текущая реализация агентов формирования
структуры конфигурации БД предполагает простановку признака блокировки для
системных пользователей).

6.15. SS-S/ITAS/3 РазблокировкаУЗ


Функция решения предназначена для выполнения разблокировки учетной записи,
соответствующей исходному узлу АИАС. Для корректной работы данной функции
необходимо выполнить настройку системного свойства «srvconnector» для исходного узла
или одного из его родительских узлов (см. раздел Операции – Определение коннектора
для узлов»).

Реализуется следующими инструментальными элементами модуля IT(А):


 hcmunlockuser

Ниже приведен пример вызова сервиса:

7
Для старых версий СУБД домена MySQL выполняется установка признака истечения пароля

OOO «АЙТИУРСОФТ» www.itursoft.ru 32


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
Реализация сервиса, в части механизма выполнения разблокировки, зависит от целевого
домена (определяется параметрами глобального коннектора - системного свойства
«srvconnector») и возможности разблокировки пользователей средствами СУБД8.

Для блокировки применения сервиса относительно учетной записи, ее метрика «rawname»


должна быть выставлена в значение «-» (текущая реализация агентов формирования
структуры конфигурации БД предполагает простановку признака блокировки для
системных пользователей).

6.16. SS-S/ITAS/4 СменаПароляУЗ


Функция решения предназначена для выполнения установки пароля учетной записи,
соответствующей исходному узлу АИАС. Для корректной работы данной функции
необходимо выполнить настройку системного свойства «srvconnector» для исходного узла
или одного из его родительских узлов (см. раздел Операции – Определение коннектора
для узлов»).

Реализуется следующими инструментальными элементами модуля IT(А):


 hcmchpwduser

Ниже приведен пример вызова сервиса:

И пример диалогового окна параметров сервиса:

Успешное выполнение сервиса будет зафиксировано в журнале приложения:

Для блокировки применения сервиса относительно учетной записи, ее метрика «rawname»


должна быть выставлена в значение «-» (текущая реализация агентов формирования
структуры конфигурации БД предполагает простановку признака блокировки для
системных пользователей).

6.17. SS-S/ITAS/5 РеконструкцияКода


Специализированная функция решения предназначена для восстановления исходного
состояния кода объектов БД Oracle, при создании которых, была применена утилита
wrap.exe или средства DBMS_SQL (для версий старше 10g). Текущая версия функции
предназначена для совместного использования с расширяющим решением xs-svn, т.к.
требует содержимое опорного файла узла, соответствующего объекту.
8
Для старых версий СУБД домена MySQL выполняется установка пароля в значение 1234567890

OOO «АЙТИУРСОФТ» www.itursoft.ru 33


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

Назначение утилиты wrap.exe (и более современных средств СУБД) – преобразование


ASCII-текста исходного кода в нечитаемую форму, для сохранения неизменности кода
или обеспечения его базовой защиты от воспроизведения. Полученный код
характеризуется такой же переносимостью, что и исходный код PL/SQL, и может
импортироваться и экспортироваться. СУБД Oracle поддерживает зависимости для
программ со скрытым кодом точно так же, как для программ с обычным кодом.

Ниже приведен пример исходного кода и результат его скрытия разными версия утилиты:

Текущая реализация функции предназначена для выполнения для следующих типов


объектов – пакеты, процедуры, функции, типы9.

Функция реализуется следующими инструментальными элементами модуля IT(А):


 unwrappillarfile

Ниже приведен пример вызова сервиса:

Пример диалога настройки параметров сервиса приведен ниже:

И состоит из следующих блоков:


1. Режим работы – необходимо выбрать версию утилиты, которой было выполнено
сокрытие исходного кода;
2. Реестр ревизий опорного файла исходного узла – необходимо выбрать одну из
ревизий, к которой будет применен сервис;
9
Для домена Oracle

OOO «АЙТИУРСОФТ» www.itursoft.ru 34


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

В процессе работы сервиса будет выполнена реконструкция кода опорного файла:

Также информация о выполнении функции будет отображена в журнале приложения:

6.18. SS-S/ITSS/1 Формирование опорных файлов для структуры


конфигурации
Назначение данной функции – формирование опорных файлов для узлов,
соответствующих наборам объектов учета прав доступа – учетных записей пользователей,
объектов полномочий (ролей) и контролируемых настроечных объектов, с учетом
целевого домена и целевой группы (БД или приложение).
Реализуется следующими инструментальными элементами модуля IT(S):
 its_cnfinstdbsvn1 (для домена Oracle) – производит формирование опорных файлов
для каркаса конфигурационных объектов БД. Для запуска сервиса требуется
указание следующих параметров:

, где основные параметры:


dbconnect – строка подключения к целевой БД
svnconnect – строка подключения к SVN
svnurl – url для заполняемого репозитария
svncwc – локальный каталог рабочей копии для заполняемого репозитария
scc – единый комментарий для всех коммитов в рамках выполнения

, дополнительные параметры:
processconnect – строка подключения к основной БД АИАС для сохранения информации
по длительности процессов работы сервиса
processname – идентификатор процесса, загружаемый в БД (при его отсутствии
проверяется наличие идентификатора задачи CI Hudson/Jenkins в переменных окружения
или значение “service”)
OOO «АЙТИУРСОФТ» www.itursoft.ru 35
АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
processsource – имя БД для соответствующего хранилища бизнес-показателей которой,
будет производиться загрузка данных процессов

Опорные файлы формируются для определенных типов объектов и включают в


себя следующий набор данных:
o учетные записи пользователей – основная информация, системные
привилегии, назначенные роли, объектные привилегии. Ниже приведен
пример сформированного опорного файла:

o роли БД – общая информация, системные привилегии, включенные роли,


объектные привилегии. Пример опорного файла:

 its_cnfinstmydbsvn1 (для домена MySQL) – производит формирование опорных


файлов для каркаса конфигурационных объектов БД. Для запуска сервиса
требуется указание следующих параметров:

, где основные параметры:


dbconnect – строка подключения к целевой БД
svnconnect – строка подключения к SVN
svnurl – url для заполняемого репозитария
svncwc – локальный каталог рабочей копии для заполняемого репозитария

OOO «АЙТИУРСОФТ» www.itursoft.ru 36


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
scc – единый комментарий для всех коммитов в рамках выполнения

, дополнительные параметры:
processconnect – строка подключения к основной БД АИАС для сохранения информации
по длительности процессов работы сервиса
processname – идентификатор процесса, загружаемый в БД (при его отсутствии
проверяется наличие идентификатора задачи CI Hudson/Jenkins в переменных окружения
или значение “service”)
processsource – имя БД для соответствующего хранилища бизнес-показателей которой,
будет производиться загрузка данных процессов

Опорные файлы формируются для определенных типов объектов и включают в


себя следующий набор данных:
o учетные записи пользователей – основная информация, параметры
подключений, параметры привилегий в разрезе доступных уровней. Ниже
приведен пример сформированного опорного файла:

o роли БД – общая информация, параметры привилегий в разрезе доступных


уровней. Пример опорного файла:

 its_cnfinstaiassvn1 (для приложения АИАС) – производит формирование опорных


файлов для каркаса конфигурационных объектов самой АИАС. Для запуска
сервиса требуется указание следующих параметров:

OOO «АЙТИУРСОФТ» www.itursoft.ru 37


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

, где основные параметры:


dbconnect – строка подключения к основной БД АИАС
svnconnect – строка подключения к SVN
svnurl – url для заполняемого репозитария
svncwc – локальный каталог рабочей копии для заполняемого репозитария
scc – единый комментарий для всех коммитов в рамках выполнения

, дополнительные параметры:
processconnect – строка подключения к основной БД АИАС для сохранения информации
по длительности процессов работы сервиса
processname – идентификатор процесса, загружаемый в БД (при его отсутствии
проверяется наличие идентификатора задачи CI Hudson/Jenkins в переменных окружения
или значение “service”)
processsource – имя БД для соответствующего хранилища бизнес-показателей которой,
будет производиться загрузка данных процессов

Опорные файлы формируются для определенных типов объектов и включают в


себя следующий набор данных:
o учетные записи пользователей – основная информация, назначенные роли
приложения, доступные модули. Ниже приведен пример сформированного
опорного файла:

o роли приложения – общая информация. Пример опорного файла:

o объекты конфигурации приложения – содержимое заданной таблицы в


формате XML. Пример опорного файла:

OOO «АЙТИУРСОФТ» www.itursoft.ru 38


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

6.19. SS-S/ITSS/2 Формирование опорных файлов оборудования


(WMI)
Реализация данной функции предназначена для формирования опорных файлов,
представляющих конфигурацию активов среды предприятия, функционирующих под
управлением ОС Windows средствами WMI.
Реализуется следующими инструментальными элементами модуля IT(S):
 its_wmisvn1 – подготовка файлов конфигурации для узлов под управлением ОС
Windows (*.hdw) с использованием WMI. Для запуска сервиса требуется указание
следующих параметров:

, где основные параметры:


cmdbconnect – строка подключения к основной БД АИАС
svnconnect – строка подключения к SVN
svnurl – url для заполняемого репозитария
svncwc – локальный каталог рабочей копии для заполняемого репозитария
scc – единый комментарий для всех коммитов в рамках выполнения
wmiconnectNN – строки для подключения к активу10, необходимо указание следующих
параметров:
 usr – пользователь
 pwd – пароль
 host – ip-адрес или сетевое имя узла
 alias – имя узла относительно АИАС

, дополнительные параметры:
processconnect – строка подключения к основной БД АИАС для сохранения информации
по длительности процессов работы сервиса
processname – идентификатор процесса, загружаемый в БД (при его отсутствии
проверяется наличие идентификатора задачи CI Hudson/Jenkins в переменных окружения
или значение “service”)
processsource – имя БД для соответствующего хранилища бизнес-показателей которой,
будет производиться загрузка данных процессов

Опорные файлы включают в себя следующие разделы:


o Node – общая информация оборудования

10
Необходима корректная настройка WMI для целевого актива

OOO «АЙТИУРСОФТ» www.itursoft.ru 39


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

o Boot – параметры загрузки

o OS – информация по операционной системе

o BaseBoard – параметры материнской платы

o Processors – информация по ЦПУ

o Memory – параметры памяти

o Swap – параметры подкачки

o LogicalDisks – логические диски

o Network – параметры сети

OOO «АЙТИУРСОФТ» www.itursoft.ru 40


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

o LocalAccounts – пользователи

o Environment – параметры среды

o Software – установленное ПО

o Startup – параметры автозапуска

6.20. SS-S/ITSS/3 Формирование опорных файлов оборудования


(SSH)
Реализация данной функции предназначена для формирования опорных файлов,
представляющих конфигурацию активов среды предприятия, функционирующих под
управлением ОС Linux средствами ОС при подключении через SSH.
Реализуется следующими инструментальными элементами модуля IT(S):
 its_sshsvn1 – подготовка файлов конфигурации для узлов под управлением OS
Linux (*.hdw) с использованием SSH. Для запуска сервиса требуется указание
следующих параметров:

, где основные параметры:


cmdbconnect – строка подключения к основной БД АИАС

OOO «АЙТИУРСОФТ» www.itursoft.ru 41


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя
svnconnect – строка подключения к SVN
svnurl – url для заполняемого репозитария
svncwc – локальный каталог рабочей копии для заполняемого репозитария
scc – единый комментарий для всех коммитов в рамках выполнения
sshconnectNN – строки для подключения к активу11, необходимо указание следующих
параметров:
 usr – пользователь
 pwd – пароль
 host – ip-адрес или сетевое имя узла
 alias – имя узла относительно АИАС

, дополнительные параметры:
processconnect – строка подключения к основной БД АИАС для сохранения информации
по длительности процессов работы сервиса
processname – идентификатор процесса, загружаемый в БД (при его отсутствии
проверяется наличие идентификатора задачи CI Hudson/Jenkins в переменных окружения
или значение “service”)
processsource – имя БД для соответствующего хранилища бизнес-показателей которой,
будет производиться загрузка данных процессов

Для формирования опорного файла, для целевого узла необходимо убедиться в наличии,
установленной утилиты dmidecode.

Опорные файлы включают в себя следующие разделы:


o Node – общая информация узла

o MemoryTotal – общие параметры памяти и подкачки

o Filesystems – информация по смонтированным файловым системам

o Network – параметры сети

11
Необходима корректная настройка SSH для целевого актива

OOO «АЙТИУРСОФТ» www.itursoft.ru 42


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

o BIOS – информация BIOS

o System – информация о системе

o Baseboard – информация о материнской плате

o Chassis – информация о шасси

o Memory – конфигурация памяти

OOO «АЙТИУРСОФТ» www.itursoft.ru 43


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

o Users – пользователи

o Packages – установленное ПО и пакеты

OOO «АЙТИУРСОФТ» www.itursoft.ru 44


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

7. Операции
Данный раздел предназначен для описания реализации ключевых операций модуля.

7.1. Определение сервисного коннектора


Операция предназначена для установки системного свойства «srvconnector» -глобальный
коннектор для использования сервисами, которое является необходимым для
функционирования следующих функций решения:
o SS-S/ITAS/1 ИнформацияУЗ - Текущая информация учетной записи
пользователя
o SS-S/ITAS/2 БлокировкаУЗ - Блокировка учетной записи пользователя
o SS-S/ITAS/3 РазблокировкаУЗ - Разблокировка учетной записи пользователя
o SS-S/ITAS/4 СменаПароляУЗ - Смена пароля учетной записи пользователя

Данная операция выполняется из консоли узлов, в расширенном состоянии блока обзор


консоли. В общем случае, необходимо выполнение следующих шагов:
1. Определить целевой узел для проставления свойства (рекомендуется производить
настройку для узла соответствующего области конфигурации – cnf.area или группе
– cnf.group)
2. Перейти в консоль узлов целевого узла

3. Перевести блок обзора в расширенное состояние и перейти на вкладку Свойства:

4. Перейти в диалог создания системных свойств и выбрать «srvconnector»:

OOO «АЙТИУРСОФТ» www.itursoft.ru 45


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

5. В появившемся реестре глобальных коннекторов, выбрать необходимый для


осуществления функций, и сохранить выбор:

6. Убедиться, что выбранный коннектор сохранился в свойствах компонента узла:

Подробные сведения о настройке глобальных коннекторов содержатся в документе


Модуль ITC Руководство пользователя – Операции.

OOO «АЙТИУРСОФТ» www.itursoft.ru 46


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

8. Решение проблем
8.1. Ошибки клиентской части
1. Приложения не запускаются
Необходимо установить библиотеки Microsoft Visual C Redistributable – 2005, 2008
(можно скачать с официального сайта Microsoft – www.microsoft.com или с нашего
официального сайта www.itursoft.ru раздел Поддержка)
2. Приложение не может подключиться к БД
Необходимо установить соответствующий БД клиент, и прописать в переменной
окружения PATH путь до его библиотек

8.2. Ошибки сервисов


1. Сообщение «Операция не разрешена» - исходный пользователь относится к
системным и не может быть обработан средствами АИАС
2. Сообщение «Отсутствует подходящий коннектор для текущего узла» - не
выполнена операция настройки коннектора для узла или его родителя

Если вы столкнулись с проблемой, отсутствующей в приведенных выше разделах:


1. Обратитесь к разделу Поддержка на официальном сайте www.itursoft.ru для поиска
актуальной версии документации или поиска решения
2. Обратитесь к нашим специалистам по электронной почте support@itursoft.ru. При
обращении к специалистам поддержки, возможно, потребуется предоставить
информацию по версии ОС и версии БД, на которую производилось
развертывание, а также журналы развертывания (формируются в каталоге пакета в
виде файлов <схема>.log)

OOO «АЙТИУРСОФТ» www.itursoft.ru 47


АИАС «А-СТЕК» Специализированное решение Безопасность Руководство пользователя

9. Контактная информация
Полное Общество с ограниченной ответственностью «АЙТИУРСОФТ»
наименование
Сокращенное ООО «АЙТИУРСОФТ»
наименование
ИНН 9715365006
КПП 771501001
ОГРН 1197746605154
Адрес 127081, г.Москва, ул.Заповедная, 14 к1 оф. 3/6
Сайт www.itursoft.ru
Почта contact@itursoft.ru

OOO «АЙТИУРСОФТ» www.itursoft.ru 48

Оценить