@
Ну тогда только гост https tls наверное
Size: a a a
2019 July 10
AP
Alexander Korb
объем доступа к ИС определяется чаще всего предъявленными учетными данными, и не зависит от точки входа - изнутри или снаружи
Я не понимаю, какую проблему Вы тут увидели и пытаетесь решить. Есть корпоративный ноут - на нем требуемые политики + VPN-клиент (можно и двухфакторку еще добавить, для большей секьюрности). Подключаетесь к шлюзу через VPN - на ноуте проверяется соответсвие настроек/политик безопасности корпоративному стандарту (с ГОСТовыми СКЗИ с этим похуже, с нормальными типа CheckPoint'а, PaloAlto и пр. проблем с этим нет). Е сли все ок - Вас пропускают к соответствующим корпоративным ресурсам. Если что-то не так (антивирус давно не обновлялся, политики сняты и т.п.) - давай, до свидания.
@
Как работает Уфк у куча других гос. Сервисов
ДК
Andrei Potseluev
Я не понимаю, какую проблему Вы тут увидели и пытаетесь решить. Есть корпоративный ноут - на нем требуемые политики + VPN-клиент (можно и двухфакторку еще добавить, для большей секьюрности). Подключаетесь к шлюзу через VPN - на ноуте проверяется соответсвие настроек/политик безопасности корпоративному стандарту (с ГОСТовыми СКЗИ с этим похуже, с нормальными типа CheckPoint'а, PaloAlto и пр. проблем с этим нет). Е сли все ок - Вас пропускают к соответствующим корпоративным ресурсам. Если что-то не так (антивирус давно не обновлялся, политики сняты и т.п.) - давай, до свидания.
сотрудник может зайти с домашнего компа, как третья сторона, но ввести свои данные - в этом проблема
AP
сотрудник может зайти с домашнего компа, как третья сторона, но ввести свои данные - в этом проблема
Не может. Даже если поставит клиента - не пройдет проверку соответствия.
ДК
т.е. пока пока пользователь не авторизировался не известно кто это ,оператор или третья сторона
AP
т.е. пока пока пользователь не авторизировался не известно кто это ,оператор или третья сторона
Пока он не авторизовался на шлюзе безопасности, а не в ИС.
@
Andrei Potseluev
Не может. Даже если поставит клиента - не пройдет проверку соответствия.
Вот человек пытается видимо сказать что сертифицированных средств с таким функционалом нет )
ДК
блин вот госуслуги, чтобы туда зайти мне что нужно криптошлюз ставить?
ДК
есть я ввожу данные пользователя я попадаю туда как пользователь, допустим если там будет форма авторизации для сотрудника, и я туда авторизируюсь, я попаду в гис, с не аттестованного рабочего места
AP
Вот человек пытается видимо сказать что сертифицированных средств с таким функционалом нет )
Check клятвенно обещает пожинить 77.30 с КриптоПро и получить сертификат ФСБ. 😊 Посмотрим. 😊
ДК
но кто я не известно, пока это не сделаю, я как то так понял
AP
есть я ввожу данные пользователя я попадаю туда как пользователь, допустим если там будет форма авторизации для сотрудника, и я туда авторизируюсь, я попаду в гис, с не аттестованного рабочего места
А в чем суть? Зачем на одной вебморде делать вход и для сотрудника, и для пользователей?
ДК
по хорошему это кривая ИС у которой вход для сотрудников и третей стороны один и тот же
AP
по хорошему это кривая ИС у которой вход для сотрудников и третей стороны один и тот же
Либо я еще не проснулся, либо одно из двух. Какой смысл брать для примера заведомо кривую и неправильную реализацию и на ее примере говорить что все плохо? Еще раз. Авторизации снаружи для сотрудников быть не должно.
ДК
Alexander Korb
да. и это одна и та же вебморда
а у них есть)
ДК
и человек спрашивает как это победить)
ДК
получает никак, править ис
AK
Типо если ты на клиенте вбиваешь какие-то данные и они передаются на сервер, то клиент и сервер должны в любом случае находится в одном сегменте
ну как бы вот с этого разговор зашел
AP
и человек спрашивает как это победить)
Сделать систему нормально. Проектировать как попало, не проверять код на уязвимости, а потом пытаться заткнуть эти дыры накладными СЗИ тупиковый путь.