Расшифровка полис омс: Что такое полис ОМС и как он действует?

Содержание

Серия и номер полиса ОМС

Если страхованием машины занимается каждый третий в стране человек, то полис ОМС имеет практически каждый гражданин. Наверное, дело заключается в новом законе, опубликованным правительством страны и называемым законом «Об обязательном медицинском страховании».

В связи с этим появилось множество компаний, которые готовы предложить вам полис ОМС с гарантией на то, что любому объекту будет оказана медицинская помощь на территории Российской Федерации. Для этого вам всего лишь необходимо будет показать документ полиса, или же просто продиктовать серию или номер. Давайте разберемся, где искать эти данные в новом полисе ОМС.

Новый страховой полис ОМС единого образца

Страхование человеческого здоровья – это главный компонент в охране человеческой жизни, именно это может помочь в сбережении здоровья людей. Благодаря данному документу, каждый человек может рассчитывать на медицинскую помощь в случае болезни или неприятного происшествия, где бы он ни находился.

Именно полис ОМС помогает многим гражданам страны чувствовать себя в безопасности, в независимости от местоположения. Ведь документ гарантирует вам оказание медицинских услуг при:

  • Ухудшении самочувствия при хронических болезнях.
  • Несчастном случае.
  • Любой болезни.

Все эти и любые другие услуги лицо может получить если был заключен контракт со страховой компанией. В случае любых процедур, все затраты покроет медицинская страховая компания, а не сам объект.

Согласно Законодательству Российской Федерации, любой объект хозяин полиса ОМС может воспользоваться правом на:

  • Пользования любыми медицинскими процедурами.
  • Личного выбора страховой компании для получения полиса ОМС.
  • Мониторинг и проверку выполнения всех условий по полису ОМС.

Полис единого образца можно получить в страховой компании, после того, как вы напишете заявление и сдадите все необходимые документы. Но сам документ требует времени на его изготовление. А потому, получить его вы можете в течение 30 дней.

Если же у вас возникнет ситуация, в которой вам срочно понадобится страховая поддержка, вам могут выдать временный полис. Данный документ будет действовать на протяжении 30 дней, и иметь те же свойства, что и основной. Обычно, как и остальные полисы, он имеет свой номер. Но в нем всего девять цифр, и начинается он с 001.

На данный момент действующими на территории страны считаются сразу два полиса – бумажный и электронный. Из отличий в данных полисах можно выделить только внешний вид, так как оба предоставляют абсолютно одинаковые возможности. Так, оба полиса гарантируют вам высококвалифицированную помощь в любой ближайшей больнице вашего города.

Кроме этого, у бумажного есть ряд отличий от электронного:

  • Данный документ не нужно заменять и подтверждать каждые пять лет;
  • Электронный полис является нововведением, а потому, далеко не каждые больницы имеют оборудования для сканирования и использования вашего медицинского полиса.

Кроме бумажного свидетельства, страховые компании могут предложить вам пластиковый вариант. Обычно он дается не взамен первого, а как дополнение к бумажному. Такой вариант является наиболее удобным, так как позволяет своим владельцам оставлять большой бумажный вариант дома, и вместо него носить с собой маленькую карту.

Ведь помимо удобства такой метод поможет сохранить вас от замены полиса. Согласно закону, если полис был поврежден каким-то образом, или информация стала нечитаемой, он требует замены. А вследствие долгосрочного использования и складывания, документ может повредиться.

Основных отличий в нем нет, выглядит он как пластиковая карта, представляя собой простой ламинированный полис.

Какой срок действия у нового полиса?

Узнать срок действия своего полиса очень просто, ведь обычно он указан на самом документе. Но ОМС нового образца не содержит данной информации, так как имеет бессрочный период действия. Старый полис необходимо поменять тогда, когда закончится срок его действия. Именно в этот момент, вам будет необходимо обратиться в страховую компанию и восстановить полис.

Запомните, что даже с просроченным полисом, вам не имеют права отказать в медицинском обсаживании. Но, такой нюанс может вызвать значительные проблемы как с самой организацией, так и с заполнением документов. Если по обращению в медицинскую организацию, вам будет отказано в получении помощи, вы можете подать в суд на неправомерность действий со стороны какого-либо субъекта.

Существуют моменты, когда замена полиса является не обязательной, а желательной. Так, если ваш полис в результате многократного использования потерял свой внешний вид, то эксперты рекомендуют его заменить. Особенно это касается потертостей в полях серии и номера полиса, так как если код будет видно не четко, вам могут отказать в медицинском обслуживании.

Серия и номер на полисе нового образца

Бумажный и электронный полис по-разному содержит информацию о серии и номере документа. Так, с бумажным полисом возникает много путаницы, так как он имеет две стороны, на каждой из которых есть свои номера. По этой причине многие медицинские учреждения не сразу понимают какой из кодов взять за номер полиса.

Давайте разберемся в данном вопросе. Итак, на лицевой стороне, полис нового образца содержит число из 16 цифр, именно он и является номер полиса ОМС, на задней же стороне 11 цифр указывают на серию полиса.

В пластиковом образце дело обстоит почти так же: на лицевой стороне, посередине, число из 16 цифр указывает на номер полиса. Серию же полиса вы найдете на обратной стороне, соответственно она будет равна 11 цифрам, и расположена под фотографией объекта страхования. Запомните главное – на лицевой стороне расположен номер полиса, на обратной – серия, и вы никогда не перепутаете данные значения.

Какую информацию содержит документ

Полис нового образца не особо отличается от старого, разве что внешним видом. Так, на его лицевой стороне находятся данные о страхуемом, а также серия и номер полиса. На обратной же стороне есть сведения о самой компании, в которой приобретается данный полис, а также подпись и печать страховщика и фирмы. Подделать документ будет очень непростым заданием, так как полис нового образца содержит специальную маркировку.

Как получить полис

Для того чтобы получить полис нового образа или же заменить старый, вам потребуется обратиться в медицинскую страховую компанию. После этого, субъект должен будет написать заявление, и в течение 30-дней он получит новый полис ОМС. Если же документ вам нужен немедленно, можете попросить о выдаче временного полиса. Так, в течение тех дней, когда основной будет делаться, вы сможете пользоваться им.

Для полиса вам понадобится документ, удостоверяющий личность, если у взрослого ребенка – это паспорт, то для детей будет необходимо предъявить свидетельство о рождении, а также его копии. Если же документ вам нужен не для себя, а на третье лицо, страховая компа

Где можно посмотреть серию и номер полиса в бланке омс старого образца

На чтение 15 мин.

Как узнать номер полиса ОМС и проверить его онлайн?

Популярные и надёжные сайты для получения необходимой информации – это настоящее спасение для пользователей. Нередко бывают случаи, когда страховой договор остаётся дома, а во время отъезда возникает необходимость обратиться в больницу. Как найти необходимые сведения? Именно в такой ситуации помогают следующие электронные ресурсы:

  1. Сайты территориальных фондов обязательного медицинского страхования, например:
    • ТФОМС Калининградской области. Это очень удобный сервис с интуитивно понятным интерфейсом. Перейдя по ссылке, можно увидеть четыре опции, которые позволяют проверить наличие страховки: сведенья о документе старого образца, нового образца, временном свидетельстве и стадии изготовления. Здесь же имеется инструкция, которая помогает пользователю быстро разобраться и найти то, что ему нужно. Однако здесь номер договора не найти – он обязателен к заполнению для получения других сведений о страховке;
    • на сайте Хабаровского Краевого ТФОМС данные страховки можно найти по фамилии и паспорту. Следовательно, на каждом территориальном портале действуют свои правила;
  2. На электронной платформе Московского городского ФОМС также можно осуществить поиск страхового договора. Однако здесь это можно сделать онлайн, зная его номер. На сайте предоставляется возможность проверить документ старого и нового образца. Для этого требуется ввести 16 знаков в поле поиска новой страховки, которая выпускается в форме пластиковой карты и на голубом бумажном бланке. Чтобы найти договор старого образца, нужно ввести его серию – 6 знаков и номер – 10 знаков.

Узнать номер ОМС можно по фамилии, дате рождения и по удостоверяющему личность документу.

Пошаговая инструкция поиска информации онлайн:

  • переходим на сайт и находим опцию «Проверка полиса ОМС»;
  • на экран выводится 4 варианта поисковых форм;
  • если номер неизвестен, поиск необходимо осуществлять через первую или через четвёртую поисковую форму;
  • в первой форме нужно заполнить фамилию, данные паспорта или свидетельства о рождении;
  • в четвёртой форме требуется указать ФИО, дату рождения, пол и адрес.

Вторая и третья формы предназначены для поиска информации о страховом договоре по его номеру. Таким образом в режиме онлайн можно узнать номер полиса ОМС по фамилии, владея лишь общей информацией.

По месту жительства

Как правило, страховой полис выдаётся гражданам в поликлинике по месту жительства. При утере или порче договора, его данные можно узнать прямо в медучреждении. Достаточно назвать свою фамилию, данные паспорта, адрес или другие сведенья, которые попросят в регистратуре, и специалист быстро найдёт нужную информацию в базе.

Тяжелее приходится в глубинке, так как в местных больницах не всегда есть соответствующее оснащение, чтобы быстро найти необходимые сведения. Однако на практике даже если документ утерян или забыт дома, в государственных учреждениях всё равно оказывается медицинская помощь. Конечно, в таких случаях желательно иметь при себе хоть какое-то удостоверение личности.

В медучреждении застрахованный может узнать, какой страховой организацией он обслуживается.

У страховщика имеется вся необходимая информация о каждом клиенте и страховом полисе.

Страховые организации, выдающие полисы ОМС, обязаны быть зарегистрированными в системе Фонда ОМС России. Иногда этого не происходит и человек обращается за медицинской помощью и получает отказ.

Кроме того, при смене работы или места жительства страховое свидетельство может также претерпевать изменения, поэтому необходимо проверять его действительность.

Не говоря уже о ситуациях, когда необходимо попросту назвать номер в медицинском учреждении, а бланка под рукой нет.

Образцы полисов

Чтобы проверить, действует ли ваш полис, можно:

  1. Посмотреть на сам бланк – срок его действия и дата начала и окончания периода страховки печатается прямо на бланке или на карточке (в зависимости от формы документа).
  2. Связаться со своей страховой компанией. Для этого необходимо позвонить, либо воспользоваться онлайн ресурсами (вроде личного кабинета), и назвать свои ФИО и номер на карточке для проверки.
  3. Прийти в медицинское учреждение и предъявить документ.

Исключительно по фамилии номер ОМС узнать невозможно – на государственном уровне пока не существует общей базы страховых свидетельств, из которой данная информация предоставлялась бы населению свободно. Однако, существуют территориальные реестры ОМС, где реализована такая возможность.

К сожалению, одной фамилии может оказаться недостаточно – государственные ресурсы могут потребовать дополнительные сведения (дату рождения, адрес проживания и т.д.)

Существует множество сторонних сайтов, на которых можно узнать номер страхового свидетельства по имени и фамилии.

Однако, не стоит забывать, что их использование может повлечь кражу персональных данных, это следует учитывать, если вы используете сторонний сервис, не рекомендованный нами, то будьте предельно внимательны. Наиболее популярный и проверенный сервис доступен по кнопке «Проверить».

Алгоритм везде одинаков:

  1. Выбираете вкладку.
  2. Вбиваете в нужное окно имеющиеся у вас сведения.
  3. Нажимаете «Поиск».

Воспользоваться можно другими онлайн-ресурсами региональных фондов ОМС. Обычно достаточно просто ввести номер документа в соответствующую графу для проверки и вся необходимая информация будет на экране.

Также, некоторые страховые компании реализуют для своих клиентов подобный поиск (если человек просто забыл номер) на своих сайтах.

Данные о том в какой именно компании зарегистрирован полис хранятся в Федеральных Фондах ОМС. Именно там и стоит искать, если нужно узнать про СК.

Нужно:

  1. Выбрать, какого образца документ – нового или старого.
  2. Ввести номер из 16 цифр или серию и номер.
  3. Нажать «Проверить».
  4. На экране высветиться вся имеющаяся информация о полисе.

Проверить полис ОМС онлайн

Важно! Названия страховой может в ней не быть, поскольку только сами региональные Фонды ОМС определяют, какие именно данные могут быть доступны населению.

По Федеральному законодательству от 29 ноября 2010 года N 326 — ФЗ граждане Российской Федерации подлежат обязательному медицинскому страхованию. Социальная программа создана государством, чтобы обеспечить российских граждан медицинскими услугами на бесплатной основе. Для этого необходимо получить страховой полис.

Бланк установленной формы, который подтверждает право человека пользоваться медицинскими услугами в медучреждениях бесплатно — называется страховым полисом или полисом обязательного медицинского страхования (ОМС).

В России успешно предоставляют свои страховые услуги такие компании как ООО » Росгосстрах — Медицина», «Макс — М», ЗАО » Капитал Медицинское Страхование», » РОСНО- МС», » СОГАЗ — Мед» и многие другие.

Задача медицинской страховой компании контролировать и смотреть за расходами денежных средств мед учреждений и за оказываемую медицинскую помощь.

Где найти номер полиса?

Воспользоваться правом пользования полисом имеют: лица с российским гражданством, иностранцы, находящиеся на территории Российского государства временно или постоянно, беженцы либо лица без гражданства.

Полис предоставляет следующие бесплатные мед. услуги:

  • Экстренная медицинская помощь (оказать первую медицинскую помощи, вызов кареты скорой помощи к пациенту).
  • Амбулаторно — стационарное лечение. Человек имеет право на амбулаторное лечение (когда больной сам обращается в больницу за помощью), и стационарное (пациент находится в больнице под наблюдением лечащего врача).
  • Плановая госпитализация (помещение больного в стационар в заранее установленный срок, оговоренный со стационаром).
  • Стоматологические услуги (бесплатное лечение, удаление, протезирование зубов).
  • Инфекционные болезни
  • Заболевания желудочного — кишечного тракта
  • Нервно — психические расстройства
  • Онкологические заболевания
  • Глазные, ушные, болезни органов дыхания
  • Заболевания сердца и кровеносных сосудов
  • Заболевания костно — мышечного аппарата и соединительной ткани.
  • Заболевания мочеполовой системы
  • Беременность, роды, аборты, послеродовые периоды
  • Детские болезни.

Бумажный вариант формата А5 стандартный для всех, независимо от выбора страховой компании. Включает он в себя следующую информацию: ФИО лица, паспортные данные, номер и срок действия договора страхования.

Оборотная сторона служит для записей при замене страховой организации. Не рекомендуется сгибать и ламинировать. Выдают во всех пунктах выдачи, единственное, собрать весь пакет документов.

Универсальная электронная карта напоминает ту же пластиковую карточку с чипом — носителем, на которую нанесен номер страхового медицинского полиса. Получить можно в определённых местах выдачи.

Чтобы оформить полис в страховой компании, следует предоставить следующие документы:

  • Паспорт (свидетельство о рождении ребёнку не достигшему 14 лет)
  • Заявление на выдачу (для ребёнка от родителя или опекуна)
  • СНИЛС (желательно для всех).

Временное свидетельство.

Для иностранных граждан:

  • Документ, подтверждающее другое гражданство
  • Если имеется ВНЖ либо паспорт с пометкой об РВП
  • СНИЛС при наличии

Если полис утерян, испорчен или данные не читабельны, компания заменит документ на дубликат.

ОМС подразделяется на несколько видов: временное свидетельство, полис единого образца, старого образца и нового образца.

До получения основного полиса, в случае непредвиденного обстоятельства, лицу выдают временное свидетельство, где номер бланка обычно начинается с числ 001, расположен справа на лицевой стороне и имеет 9 цифр. Бланк имеет дату выдачи и действителен до выдачи полиса единого образца.

Данный вид ОМС получают после договора со страховой организацией в течение тридцати рабочих дней. Срок использования данного документа неограничен, поэтому не требуется его менять при смене вакансии либо при переезде на новое место жительство.Срок действия бланк имеет только для иностранных граждан и лиц без гражданства.

Как проверить полис ОМС?

Образцы полисов

Некоторые граждане, не следящие за нововведениями в медицинской сфере, попадаются на уловки аферистов и приобретают поддельные или списанные полисы. Или же страховой компании, где была оформлена карта, уже не существует.  Получить медицинскую помощь по такому полису невозможно, ведь все номера внесены в единую базу данных.

Заключение

Информацию о страховом договоре можно получить несколькими способами:

  • через проверенные и удобные интернет-ресурсы;
  • на сайте страховщика или при личном его посещении;
  • в медучреждении по месту жительства.

Первый вариант наиболее удобен, особенно если человек находится в другом регионе и не может посетить поликлинику или офис страховщика, а по телефону никто такие сведенья не предоставит.

Для того чтобы получить необходимые данные, достаточно воспользоваться поисковой формой на территориальном сайте ФОМС либо на портале Страховой случай. Поиск можно осуществить по фамилии и по паспорту или свидетельству о рождении и по общим данным.

Нужна ли замена полиса ОМС при смене фамилии и как её правильно сделать вы узнаете далее.

Ждем ваши вопросы. Просьба оценить пост.

На связи наш юрист. Записывайтесь на бесплатную консультацию в специальной форме.

Обзор полиса ОМС

Сейчас полис выдается на бессрочный период, он имеет вид пластиковой карты, в которой в электронном виде зашифрована информация о владельце. На самой карте написано ФИО, дата рождения, серия и номер.Замена старого полиса на новый осуществляется планово или в связи с утратой, изменением данных (например, смена имени, фамилии), сильная порча свидетельства.

Старый (слева) и новый (справа) полис ОМС

Если у вашего полиса (старый образец) истек срок действия (страховка, оформленная до 2007 года), в поликлинике могут возникнуть проблемы с регистрацией документации, поэтому, лучше заблаговременно позаботиться об оформлении свидетельства нового образца.

Где смотреть номер и серию полиса ОМС

12.05.2018

Нередко у граждан возникает необходимость сообщить определенным лицам реквизиты своего медполиса ОМС. Но практика показывает, что иногда это простое действие некоторых ставит в тупик.

Чтобы не попасть впросак, следует разобраться, где указывается серия и номер ОМС и как они определяются.

Данную статью посвятим этому вопросу, а также узнаем, где указывается серия и номер на документах старого, а также нового образцов.

Медполис нового формата кардинально отличается от бумаги старого образца. Обычно пластиковый документ выдают, как вспомогательная составляющая привычного бумажного формата. Информация же, которая отражается в обеих видах полисов, одинаковая. Из практики ясно, что пластиковая карта более удобна в условиях ежедневного использования, ее невозможно смять и затереть.

За последние годы форма медстраховки ОМС менялась не один раз. Сейчас мы имеем такой формат, который был регламентирован официальным Приказом ФФОМС РФ от 15.08.2000 г. Именно этот приказ четко обозначил, какой должна быть форма страхового документа.

Корректировки, которые были внесены в полис ОМС, предусматривали превращение единой базы данных ОМС в более совершенный вариант.

Обратите внимание

Таким шагом представители власти желали сделать более совершенной единую базу данных ОМС и еще хотели сделать более простой процедуру записи на прием к доктору.

Пластиковая же форма делает официальную бумагу более практичной и удобной в использовании. Рассматривая расположение реквизитов медполиса, можно заметить:

  • 16 цифр на лицевом развороте. Это и есть интересующий медперсонал набор цифр полиса;
  • 11 знаков на тыльном развороте. Это реквизиты самого бланка бумаги.

Если у человека нет возможности осмотреть свой документ, а его данные нужны в срочном порядке, стоит узнать номер полиса ОМС по конкретной фамилии физлица и его сведениям, взятым из паспорта.

Для этого нужен будет лишь вход в интернет со смартфона либо иного девайса. Указанную выше информацию предоставить смогут веб-сервисы на ресурсах территориальных фондов либо страховых медорганизаций. Что обозначает каждая из спецпозиций цифрового ряда в документах, которые выдавались до 2012 года, расскажет следующий раздел.

Бумажный носитель отличается своим двухсторонним заполнением. Ценная информация заносится на спецлист формата А5. На этом листе в обязательном порядке должны просматриваться защитные элементы.

Важно то, что на каждой странице изображается такой цифровой ряд, который не повторяется на предыдущих страницах.

Каждая цифра в этом документе имеет конкретное значение, которое представляет особую значимость для медорганов, страховых компаний и организаций, которые занимаются учетом деятельности описываемых выше структур и федерального фонда медстрахования. Что же за информационные данные содержатся в 16 цифрах полиса, образец которого был утвержден еще до 2012 года? Разберемся:

  •  1 и 2 цифра — указывают код конкретной области, в которой оформлялся документ.
  • 3 цифра — номер получаемого по факту дубля (если документ физлицу выдан впервые, будет стоять цифра «1», если выдается, например, третий раз, будет стоять цифра «3»).
  • 4-7 позиции — это цифры, указывающие год, когда родился гражданин.
  • 8 и 9 позиции — это месяц, в котором страхователь родился.
  • 10 и 11 число — это день рождения. Данная комбинация подразумевает свои особенности. Если полис выдан физлицу мужского пола, к числу дня рождения прибавляют всегда значение 50. Если дата рождения по определенным причинам неизвестна, прописываются нули. Рассмотрим пример. Мужчина, который появился на свет 10 декабря 1991 года, получит медполис с такими первым одиннадцатью цифрами: 19911260. У женщины, родившейся в далеком 1938 году в мае месяце (число не известно), цифры с четвертой по одиннадцатую, будут представляться так: 19380500.
  • Порядковые цифры с 12 по 15 позицию — это порядковый спецномер, который присваивают гражданам, имеющим одинаковую дату рождения. Это число от «1» до «9999».
  • Последняя 16 порядковая цифра — это контрольный разряд. Высчитывается он по общепринятому спецрасчету, который установлен на международном уровне.

Следует понимать, что медполис, который выдавался после декабря месяца 2011 года, не расшифровывается подробным образом. Эксперты советуют 16-циферный ряд просто запомнить.

Если выучить их наизусть не получается, можно записать куда-то эти цифры, чтобы они были под рукой в случае необходимости (а понадобиться они могут тогда, когда человек будет в поликлинике либо в больнице и под его рукой не окажется требуемого документа).

С 01.08.12 появились небольшие изменения в бумажном варианте. Из-за стирания штих-кода при перегибе листа пришлось видоизменить полис. Сейчас полис выглядит как на изображении

Реквизиты полиса ОМС устаревшей формы располагаются на лицевой стороне спецбланка (она, к сведению, является единственной). Под реквизитами в данном случае понимают 16 цифр, прописываются которые в строке «Серия/№».

Первые шесть позиций подразумевают под собой серию документа, а оставшиеся 10 цифр — это номер документа.

В чем именно заключается различия в указании реквизитов на бланках старого, а также нового образца? Разберемся:

  1. Номер полиса ОМС на спецбланках нового формата на пластиковом и бумажном носителе располагается в нижней части лицевой стороны бумаги и содержит ровно 16 цифр.
  2. Серия, а также номер бумаги устаревшего формата располагаются в верхней части документа и представляют собой 6-значный цифровой ряд и 10 позиций номера. Эта комбинация цифр позволит проверить действительность бумаг, узнать, примут ли в конкретном медучреждении пациента с таким медполисом. Чтобы такую информацию уточнить, необходимо будет ввести цифры в специально предназначенные для этого графы сервиса на ресурсе территориального ТФОМС. Если на руках документ устаревшего образца, необходимо будет ввести еще и дату рождения застрахованного гражданина.

Подводим черту

Данный материал рассказал все о том, что такое реквизиты медполиса ОМС. Теперь вы знаете, где в медполисах нового и старого образца располагается номер и серия. Эту информацию должен знать каждый, независимо от того — является он медработником либо гражданином, получающим услуги по программе ОМС.

Где находится номер и серия полиса ОМС? Ссылка на основную публикацию

Созданная система обязательного медицинского страхования (ОМС) в Российской Федерации позволяет предоставлять бесплатные услуги при проблемах со здоровьем гражданам страны, а также некоторой категории людей с другим гражданством.

Так как появились новые варианты договоров, возникают вопросы о том, где смотреть номер и серию полиса обязательного медицинского страхования.

Рассмотрим самое главное в теме и как сориентироваться в расположении номеров на разных видах договоров.

https://www.youtube.com/watch?v=nfeI5IUnfxc

Возьмите карточку в руки и посмотрите внимательно на лицевую сторону. В нижней части прописан ряд из 16 цифр. Документ старого образца нумеровался по такому принципу: первые 6 цифр:  серия, оставшиеся 10 – номер. Сейчас же числовой ряд  это не что иное, как номер документа. А серия? Ее просто нет.

Если в медицинском учреждении потребуют написать серию полиса ОМС, укажите все 16 цифр, прописанных в нижней части полиса. В полисах старого варианта необходимо разделить числовой ряд по алгоритму, указанному выше и вписать цифры в соответствующие поля.

Электронный полис ОМС зачем ПИН-код — Что нужно знать? — Страхование

На территории РФ уже несколько лет действуют полисы ОМС нового образца. При обмене получателю сразу предлагались на выбор два вида документов: привычный бумажный и удобный пластиковый.


Если первый был фактически полностью аналогичен предшественнику, и поэтому вопросов по его использованию не возникло.

То второй – разительно отличался и не только внешним видом.

1. Пластиковая карта удобна как своими габаритами, так и возможностью длительного использования. Благодаря ней можно забыть об очереди у окошка регистратуры и записаться на прием в режиме онлайн. Встроенный чип позволяет записать всю нужную информацию о владельце без боязни утерять ее впоследствии.

2. На лицевой стороне расположены:
• наименование документа и герб РФ;
• микрочип со сведениями о СК и застрахованном лице;
• шестнадцатизначный код.
Печать, информирующая о наименовании филиала СК и его контактных данных, расположена справа от чипа.

3. На обратной стороне находятся:
• контактный телефон ТФОМС, подпись владельца полиса, значок ПОМС;
• голограмма, подтверждающая подлинность;
• метрические данные владельца, его фото, порядковый номер и срок действия полиса.

4. Данный вид полиса имеет компактный размер и может свободно поместиться в отделение бумажника или визитницы.
Основным плюсом электронной версии полиса являются его компактность и износостойкость.

Остальные преимущества доступны далеко не всем обладателям, ведь специальное считывающее оборудование и программное обеспечение имеется далеко не во всех медицинских учреждениях.

Правила замены и пользования
Заменить бумажный экземпляр на электронный можно совершенно бесплатно. Кроме фотографии полис имеет еще несколько уровней защиты от мошенничества.

1. Первый вопрос, возникающий у людей получающих электронный полис ОМС: «Зачем пин код?». Конечно, основной его функцией является защита информации о застрахованном лице. Благодаря данному полису можно решать возникающие вопросы с врачом и записываться к нему на прием через личный кабинет госуслуг или терминал.

2. Второй вопрос вызывается малым объемом информации у населения о смене данного типа полиса. Ведь не все СК занимаются его выдачей и, естественно заменой:
• при изменении личных данных перезаписать чип не получится. Он форматированию не поддается и поэтому потребуется замена карты;
• процедура выдачи нового полиса, как и замена старого, занимает столько же времени, сколько оформление бумажного документа.
Информация о страховых компаниях предоставляющих услуги в медучреждении имеется в поликлиниках по месту жительства.

3. Чтобы произвести замену документа старого образца на новый пластиковый нужно лично посетить представителей страховой компании написать заявление и предоставить на рассмотрение имеющиеся документы. Срок изготовления в среднем занимает 1,5 недели, но максимально разрешенный законом период равен месяцу.

Вместе с карточкой выдается пин-код, необходимый для подтверждения личного присутствия владельца во время введения информации. Кроме того человек получает пак код, который потребуется в случае неправильного введения пин кода.

Вторник.
Завтрак: нарезанный грейпфрут, ломтик цельнозернового хлеба с арахисовым маслом и кофе. Обед: порция мяса на гриле, томатный салат, зеленое яблоко и чай со льдом. Ужин: порция тунца с кресс-салатом и настоем на выбор.
Диета с низким содержанием углерода — среда.
Завтрак: яичный омлет с красным перцем и луком, кусок цельнозернового хлеба и черный чай. Обед: порция жареной куриной грудки, салат-латук с помидорами. Киви и чай. Ужин: салат из шпината и зеленого перца с кусочками сыра и ветчиной индейки, а также настой на выбор.
В четверг.
Завтрак: коктейль из клубники и клюквы с кокосовым молоком и ломтиком цельнозернового хлеба со свежим сыром. Ужин: порция рыбы с зеленью, помидорами черри и авокадо и настой на выбор. Ужин: гамбургер на гриле, салат-латук и чай.
В пятницу.

Включение безопасности с помощью политик и шифрования сообщений

Вы можете зашифровать и расшифровать поля сообщения для защиты конфиденциальных данных (известных как личная информация (PII)), передаваемых в веб-службах и адаптерах JCA в Oracle SOA Suite и Oracle Service Bus. Эта функция обеспечивает скрытие определенных полей (например, SSN), чтобы эти данные не отображались на консолях администрирования в виде открытого текста.

На рис. 46-11 показано, как входящее сообщение шифруется при входе в составное приложение SOA в компоненте привязки службы, а исходящее сообщение дешифруется при выходе из составного приложения SOA в компоненте привязки ссылки. Сообщения вне составного могут быть защищены с помощью других политик защиты сообщений (WS-Security / SSL).

В следующем коде показан пример незашифрованного сообщения. Поля PII: name и driversLicense .

 <человек>
   Джон 
   B1234 
   123-456-789 

 

В следующем коде показан пример зашифрованного сообщения с полями name и driversLicense в зашифрованном формате.

 <человек>
   Джон 
  зашифровано: fdslj [lmsfwer09fsn; keyname = pii-csf-key 
   зашифровано: gdf45md% mfsd103k; keyname = pii-csf-key 

 

Формат шифрования следующий:

 зашифровано: ; имя ключа:  

Примечание:

Если и политика PII, и политика авторизации присоединены к составному приложению SOA, политика авторизации выполняется до политики PII. Это связано с тем, что политика PII может зашифровать поле, используемое для авторизации.

Если политика авторизации прикреплена к компоненту и для него требуется уже зашифрованное поле, авторизация не выполняется.

Политики ограничения доступа для управления API Azure

  • 15 минут на чтение

В этой статье

В этом разделе приведены ссылки на следующие политики управления API.Для получения информации о добавлении и настройке политик см. Политики в управлении API.

Политики ограничения доступа

  • Проверить заголовок HTTP — Проверяет наличие и / или значение заголовка HTTP.
  • Ограничить скорость вызовов по подписке — предотвращает скачки использования API, ограничивая скорость вызовов для каждой подписки.
  • Ограничить скорость вызова по ключу — предотвращает скачки использования API, ограничивая скорость вызова для каждого ключа.
  • Ограничить IP-адреса вызывающих абонентов — фильтрует (разрешает / запрещает) вызовы с определенных IP-адресов и / или диапазонов адресов.
  • Установить квоту использования по подписке — позволяет вам установить возобновляемый или пожизненный объем вызовов и / или квоту полосы пропускания для каждой подписки.
  • Установить квоту использования по ключу — позволяет вам установить возобновляемый или пожизненный объем вызовов и / или квоту полосы пропускания для каждого ключа.
  • Проверить JWT — Обеспечивает существование и действительность JWT, извлеченного из указанного заголовка HTTP или указанного параметра запроса.

Подсказка

Вы можете использовать политики ограничения доступа в разных областях для разных целей.Например, вы можете защитить весь API с помощью аутентификации AAD, применив политику validate-jwt на уровне API, или вы можете применить ее на уровне операций API и использовать заявок для более детального контроля.

Проверить заголовок HTTP

Используйте политику check-header , чтобы обеспечить, чтобы запрос имел указанный заголовок HTTP. При желании вы можете проверить, имеет ли заголовок определенное значение, или проверить диапазон допустимых значений. Если проверка не удалась, политика прекращает обработку запроса и возвращает код состояния HTTP и сообщение об ошибке, указанные политикой.

Заявление о политике

  
     Значение1 
     Значение2 

  

Пример

  
     f6dc69a089844cf6b2019bae6d36fac8 

  

Элементы

Имя Описание Требуется
чек-заголовок Корневой элемент. Есть
значение Допустимое значение заголовка HTTP. Если указано несколько элементов значений, проверка считается успешной, если любое из значений совпадает.

Атрибуты

Имя Описание Требуется По умолчанию
сообщение об ошибке при неудачной проверке Сообщение об ошибке, возвращаемое в теле ответа HTTP, если заголовок не существует или имеет недопустимое значение.В этом сообщении должны быть правильно экранированы все специальные символы. Есть НЕТ
не удалось проверить-httpcode Код состояния HTTP для возврата, если заголовок не существует или имеет недопустимое значение. Есть НЕТ
название заголовка Имя проверяемого HTTP-заголовка. Есть НЕТ
игноркк Может иметь значение True или False. Если установлено значение True, регистр игнорируется при сравнении значения заголовка с набором допустимых значений. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

  • Разделы политики: входящий, исходящий

  • Области действия политики: все области

Лимит звонка по подписке

Политика ограничения скорости предотвращает всплески использования API для каждой подписки, ограничивая скорость вызова определенным числом в течение определенного периода времени.При срабатывании этой политики вызывающий абонент получает код состояния ответа 429 Too Many Requests .

Важно

Эту политику можно использовать только один раз для каждого документа политики.

Выражения политики не могут использоваться ни в одном из атрибутов политики для этой политики.

Осторожно

Из-за распределенного характера архитектуры дросселирования ограничение скорости никогда не бывает полностью точным. Разница между настроенным и реальным количеством разрешенных запросов зависит от объема и скорости запросов, внутренней задержки и других факторов.

Заявление о политике

  <ограничение скорости звонков = "число" период обновления = "секунды">
    
        <имя операции = "название операции" звонки = "число" период обновления = "секунды" />
    

  

Пример

  <политики>
    <входящий>
        <база />
        
    
    <исходящий>
        <база />
    

  

Элементы

Имя Описание Требуется
предел скорости Корневой элемент. Есть
API Добавьте один или несколько из этих элементов, чтобы наложить ограничение на скорость вызовов для API в продукте. Ограничения на количество вызовов продуктов и API применяются независимо. На API можно ссылаться через name или id . Если предоставлены оба атрибута, будет использоваться id , а name будет проигнорирован.
операция Добавьте один или несколько из этих элементов, чтобы наложить ограничение на скорость вызовов для операций в API.Ограничения на количество вызовов продуктов, API и операций применяются независимо. На операцию можно ссылаться либо через name , либо через id . Если предоставлены оба атрибута, будет использоваться id , а name будет проигнорирован.

Атрибуты

Имя Описание Требуется По умолчанию
название Имя API, для которого применяется ограничение скорости. Есть НЕТ
звонки Максимальное общее количество вызовов, разрешенных в течение интервала времени, указанного в период продления . Есть НЕТ
период продления Период времени в секундах, по истечении которого квота сбрасывается. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

Ограничить скорость звонков клавишей

Важно

Эта функция недоступна на уровне потребления управления API.

Политика ограничения скорости по ключу предотвращает всплески использования API для каждого ключа, ограничивая скорость вызова определенным числом в определенный период времени. Ключ может иметь произвольное строковое значение и обычно предоставляется с использованием выражения политики. Можно добавить необязательное условие приращения, чтобы указать, какие запросы должны учитываться при подсчете лимита.При срабатывании этой политики вызывающий абонент получает код состояния ответа 429 Too Many Requests .

Дополнительные сведения и примеры этой политики см. В разделе Расширенное регулирование запросов с помощью Azure API Management.

Осторожно

Из-за распределенного характера архитектуры дросселирования ограничение скорости никогда не бывает полностью точным. Разница между настроенным и реальным количеством разрешенных запросов зависит от объема и скорости запросов, внутренней задержки и других факторов.

Заявление о политике

  <ограничение количества вызовов по клавишам = "номер"
                   период обновления = "секунды"
                   инкремент-условие = "условие"
                   counter-key = "ключевое значение" />

  

Пример

В следующем примере ограничение скорости определяется IP-адресом вызывающего абонента.

  <политики>
    <входящий>
        <база />
        
    
    <исходящий>
        <база />
    

  

Элементы

Имя Описание Требуется
ограничение скорости по ключу Корневой элемент. Есть

Атрибуты

Имя Описание Требуется По умолчанию
звонки Максимальное общее количество вызовов, разрешенных в течение интервала времени, указанного в период продления . Есть НЕТ
контр-ключ Ключ для использования в политике ограничения скорости. Есть НЕТ
условие приращения Логическое выражение, определяющее, должен ли запрос засчитываться по квоте ( истинно ). НЕТ
период продления Период времени в секундах, по истечении которого квота сбрасывается. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

Ограничить IP-адреса вызывающего абонента

Политика ip-filter фильтрует (разрешает / запрещает) вызовы с определенных IP-адресов и / или диапазонов адресов.

Заявление о политике

  
    
адрес
<диапазон-адресов от = "адрес" до = "адрес" />

Пример

В следующем примере политика разрешает запросы только с одного IP-адреса или указанного диапазона IP-адресов.

  
    <адрес> 13.66.201.169 
    <диапазон-адресов от = "13.66.140.128" до = "13.66.140.143" />

  

Элементы

Имя Описание Требуется
IP-фильтр Корневой элемент. Есть
адрес Задает единственный IP-адрес для фильтрации. Требуется по крайней мере один элемент адреса или диапазона адресов .
диапазон адресов от = «адрес» до = «адрес» Задает диапазон IP-адресов для фильтрации. Требуется по крайней мере один элемент адреса или диапазона адресов .

Атрибуты

Имя Описание Требуется По умолчанию
диапазон адресов от = «адрес» до = «адрес» Диапазон IP-адресов, для которых разрешен или запрещен доступ. Требуется, когда используется элемент диапазона адресов . НЕТ
ip-filter action = «разрешить | запретить» Указывает, следует ли разрешать вызовы для указанных IP-адресов и диапазонов. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

  • Разделы политики: входящий
  • Области действия политики: все области

Установить квоту использования по подписке

Квота Политика обеспечивает возобновляемый или пожизненный объем вызовов и / или квоту полосы пропускания для каждой подписки.

Важно

Эту политику можно использовать только один раз для каждого документа политики.

Выражения политики не могут использоваться ни в одном из атрибутов политики для этой политики.

Заявление о политике

  
    
        <имя операции = "название операции" звонки = "число" период обновления = "секунды" />
    

  

Пример

  <политики>
    <входящий>
        <база />
        
    
    <исходящий>
        <база />
    

  

Элементы

Имя Описание Требуется
квота Корневой элемент. Есть
API Добавьте один или несколько из этих элементов, чтобы наложить квоту на вызовы для API в продукте. Квоты вызовов продуктов и API применяются независимо. На API можно ссылаться через name или id . Если предоставлены оба атрибута, будет использоваться id , а name будет проигнорирован.
операция Добавьте один или несколько из этих элементов, чтобы наложить квоту вызовов на операции в API.Квоты вызовов продуктов, API и операций применяются независимо. На операцию можно ссылаться либо через name , либо через id . Если предоставлены оба атрибута, будет использоваться id , а name будет проигнорирован.

Атрибуты

Имя Описание Требуется По умолчанию
название Имя API или операции, для которой применяется квота. Есть НЕТ
полоса пропускания Максимальное общее количество килобайт, разрешенное в течение интервала времени, указанного в период продления . Необходимо указать либо вызовов , либо пропускную способность , либо оба вместе. НЕТ
звонки Максимальное общее количество вызовов, разрешенных в течение интервала времени, указанного в период продления . Необходимо указать либо вызовов , либо пропускную способность , либо оба вместе. НЕТ
период продления Период времени в секундах, по истечении которого квота сбрасывается. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

  • Разделы политики: входящий
  • Области действия политики: продукт

Установить квоту использования клавишей

Важно

Эта функция недоступна на уровне потребления управления API.

Квота по ключам Политика применяет возобновляемый или пожизненный объем вызовов и / или квоту полосы пропускания для каждого ключа. Ключ может иметь произвольное строковое значение и обычно предоставляется с использованием выражения политики. Можно добавить необязательное условие приращения, чтобы указать, какие запросы должны учитываться в квоте. Если несколько политик увеличивают одно и то же значение ключа, оно увеличивается только один раз за запрос. При достижении лимита вызовов вызывающий абонент получает код состояния ответа 403 Forbidden .

Дополнительные сведения и примеры этой политики см. В разделе Расширенное регулирование запросов с помощью Azure API Management.

Заявление о политике

  

  

Пример

В следующем примере квота задается IP-адресом вызывающего абонента.

  <политики>
    <входящий>
        <база />
        <количество вызовов по ключу = "10000", ширина полосы = "40000", период обновления = "3600"
                      increment-condition = "@ (context.Response.StatusCode> = 200 && context.Response.StatusCode <400) "
                      counter-key = "@ (context.Request.IpAddress)" />
    
    <исходящий>
        <база />
    

  

Элементы

Имя Описание Требуется
квота Корневой элемент. Есть

Атрибуты

Имя Описание Требуется По умолчанию
полоса пропускания Максимальное общее количество килобайт, разрешенное в течение интервала времени, указанного в период продления . Необходимо указать либо вызовов , либо пропускную способность , либо оба вместе. НЕТ
звонки Максимальное общее количество вызовов, разрешенных в течение интервала времени, указанного в период продления . Необходимо указать либо вызовов , либо пропускную способность , либо оба вместе. НЕТ
контр-ключ Ключ, используемый для политики квот. Есть НЕТ
условие приращения Логическое выражение, определяющее, должен ли запрос учитываться по квоте ( true ) НЕТ
период продления Период времени в секундах, по истечении которого квота сбрасывается. Есть НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

  • Разделы политики: входящий
  • Области действия политики: все области

Подтвердить JWT

Политика validate-jwt обеспечивает наличие и достоверность JWT, извлеченного из указанного заголовка HTTP или указанного параметра запроса.

Важно

Политика validate-jwt требует, чтобы зарегистрированное утверждение exp было включено в токен JWT, если только атрибут require-expiration-time не указан и не установлен на false .Политика validate-jwt поддерживает алгоритмы подписи HS256 и RS256. Для HS256 ключ должен быть встроен в политику в закодированной в base64 форме. Для RS256 ключ должен быть предоставлен через конечную точку конфигурации Open ID. Политика validate-jwt поддерживает токены, зашифрованные симметричными ключами с использованием следующих алгоритмов шифрования A128CBC-HS256, A192CBC-HS384, A256CBC-HS512.

Заявление о политике

  <проверка-jwt
    header-name = "имя http-заголовка, содержащего токен (используйте атрибут query-parameter-name, если токен передается в URL-адресе)"
    failed-validation-httpcode = "код статуса http для возврата в случае ошибки"
    failed-validation-error-message = "сообщение об ошибке, возвращаемое при ошибке"
    token-value = "выражение, возвращающее токен JWT в виде строки"
    require-expiration-time = "истина | ложь"
    require-scheme = "scheme"
    require-signed-tokens = "истина | ложь"
    clock-skew = "допустимый сдвиг часов в секундах"
    output-token-variable-name = "имя переменной для получения объекта JWT, представляющего успешно проверенный токен">
  
  
     ключ подписи в кодировке base64 
    
  
  <ключи-расшифровки>
     ключ подписи в кодировке base64 
    
  
  <аудитории>
     строка аудитории 
    
  
  <эмитенты>
     строка эмитента 
    
  
  <требуемые претензии>
    
       заявить значение, которое должно появиться в токене 
      
    
    
  


  

Примеры

Простая проверка токена
  
    
         {{jwt-signed-key}}  
    
    <аудитории>
        <аудитория> @ (context.Request.OriginalUrl.Host)  
    
    <эмитенты>
         http://contoso.com/ 
    

  
Проверка токена Azure Active Directory
  
    
    <аудитории>
         25eef6e4-c905-4a07-8eb4-0d08d5df8b3f 
    
    <требуемые претензии>
        
             вставить сюда заявку 
        
    

  
Проверка токена B2C Azure Active Directory
  
    
    <аудитории>
         d313c4e4-de5f-4197-9470-e509a2f0b806 
    
    <требуемые претензии>
        
             вставить сюда заявку 
        
    

  
Разрешить доступ к операциям на основе утверждений токенов

В этом примере показано, как использовать политику Validate JWT для авторизации доступа к операциям на основе значения утверждений токена.

  
    
         {{jwt-signed-key}}  
    
    <аудитории>
         @ (context.Request.OriginalUrl.Host) 
    
    <эмитенты>
         contoso.com 
    
    <требуемые претензии>
        <требовать name = "group" match = "any">
             финансы 
             логистика 
        
    

<выбрать>
    
        
            
        
    

  

Элементы

Элемент Описание Требуется
проверка-jwt Корневой элемент. Есть
аудитории Содержит список допустимых заявлений аудитории, которые могут присутствовать в токене.Если присутствует несколько значений аудитории, то каждое значение проверяется до тех пор, пока не будут исчерпаны все (в этом случае проверка не удастся) или пока одно из них не будет успешным. Необходимо указать хотя бы одну аудиторию.
ключи подписи эмитента Список ключей безопасности в кодировке Base64, используемых для проверки подписанных токенов. Если присутствует несколько ключей безопасности, то каждый ключ проверяется до тех пор, пока не будут исчерпаны все (в этом случае проверка не удастся) или пока один из них не будет успешным (полезно для смены токена).Ключевые элементы имеют необязательный атрибут id , используемый для сопоставления с требованием kid .
ключи дешифрования Список ключей в кодировке Base64, используемых для расшифровки токенов. Если присутствует несколько ключей безопасности, то каждый ключ проверяется до тех пор, пока не будут исчерпаны все ключи (в этом случае проверка не удастся) или пока ключ не будет успешным. Ключевые элементы имеют необязательный атрибут id , используемый для сопоставления с требованием kid .
эмитентов Список приемлемых участников, выпустивших токен.Если присутствует несколько значений эмитента, то каждое значение проверяется до тех пор, пока не будут исчерпаны все (в этом случае проверка не удастся) или пока одно из них не будет успешным.
openid-config Элемент, используемый для указания совместимой конечной точки конфигурации Open ID, из которой могут быть получены ключи подписи и эмитент.
требуемые претензии Содержит список утверждений, которые должны присутствовать в токене, чтобы он считался действительным.Если для атрибута match установлено значение , все , каждое значение утверждения в политике должно присутствовать в токене для успешной проверки. Если для атрибута match установлено значение , в токене должно присутствовать хотя бы одно утверждение для успешной проверки.

Атрибуты

Имя Описание Требуется По умолчанию
наклон Временной интервал.Используется для указания максимальной ожидаемой разницы во времени между системными часами эмитента токена и экземпляра управления API. 0 секунд
сообщение об ошибке неудачной проверки Сообщение об ошибке, возвращаемое в теле ответа HTTP, если JWT не прошел проверку. В этом сообщении должны быть правильно экранированы все специальные символы. Сообщение об ошибке по умолчанию зависит от проблемы проверки, например, «JWT отсутствует.«
не удалось проверить httpcode Код состояния HTTP для возврата, если JWT не прошел проверку. 401
название заголовка Имя заголовка HTTP, содержащего маркер. Должно быть указано одно из имя-заголовка , имя-параметра-запроса или значение токена . НЕТ
имя-параметра-запроса Имя параметра запроса, содержащего токен. Должно быть указано одно из имя-заголовка , имя-параметра-запроса или значение токена . НЕТ
значение токена Выражение, возвращающее строку, содержащую токен JWT Должно быть указано одно из имя-заголовка , имя-параметра-запроса или значение токена . НЕТ
id Атрибут id в элементе key позволяет указать строку, которая будет сопоставляться с требованием kid в токене (при его наличии), чтобы определить соответствующий ключ для использования для проверки подписи. НЕТ
совпадение Атрибут соответствует в элементе утверждения указывает, должно ли каждое значение утверждения в политике присутствовать в токене для успешной проверки. Возможные значения:

все — каждое значение утверждения в политике должно присутствовать в токене для успешной проверки.

любое — для успешной проверки в токене должно присутствовать хотя бы одно значение утверждения.

все
время истечения срока Boolean. Указывает, требуется ли в токене заявление об истечении срока действия. правда
Требуемая схема Имя схемы токена, например. «Носитель». Когда этот атрибут установлен, политика гарантирует, что указанная схема присутствует в значении заголовка авторизации. НЕТ
требовать подписанных токенов Boolean.Указывает, требуется ли подписывать токен. правда
сепаратор Строка. Задает разделитель (например, «,»), который будет использоваться для извлечения набора значений из многозначного утверждения. НЕТ
url URL-адрес конечной точки конфигурации Open ID, откуда можно получить метаданные конфигурации Open ID. Ответ должен соответствовать спецификациям, определенным на URL: https: // openid.net / specs / openid-connect-discovery-1_0.html # ProviderMetadata . Для Azure Active Directory используйте следующий URL-адрес: https://login.microsoftonline.com/{tenant-name}/.well-known/openid-configuration , подставив имя клиента каталога, например contoso.onmicrosoft.com . Есть НЕТ
имя-переменной-токена вывода Строка. Имя переменной контекста, которая получит значение токена как объект типа Jwt после успешной проверки токена НЕТ

Использование

Эту политику можно использовать в следующих разделах и областях политики.

  • Разделы политики: входящий
  • Области действия политики: все области

Следующие шаги

Для получения дополнительной информации о работе с политиками см .:

Политики рисков

— Защита идентификации Azure Active Directory

  • 2 минуты на чтение

В этой статье

Как мы узнали из предыдущей статьи, Политики защиты личных данных, у нас есть две политики риска, которые мы можем включить в нашем каталоге.

  • Политика риска при входе
  • Политика рисков пользователей

Обе политики предназначены для автоматизации реакции на обнаружение рисков в вашей среде и позволяют пользователям самостоятельно устранять риски при обнаружении рисков.

Предварительные требования

Если ваша организация хочет разрешить пользователям самовосстановление при обнаружении рисков, пользователи должны быть зарегистрированы как для самостоятельного сброса пароля, так и для Многофакторной аутентификации Azure. Мы рекомендуем включить комбинированный способ регистрации информации о безопасности для наилучшего взаимодействия.Разрешение пользователям самостоятельно исправлять ошибки позволяет быстрее вернуться в продуктивное состояние без вмешательства администратора. Администраторы по-прежнему могут видеть эти события и расследовать их постфактум.

Выбор приемлемого уровня риска

Организации должны решить, какой уровень риска они готовы принять, соблюдая баланс между пользовательским интерфейсом и состоянием безопасности.

Microsoft рекомендует установить для политики риска пользователя значение High , а для политики риска входа — значение Medium и выше .

Выбор верхнего порога уменьшает количество срабатываний политики и минимизирует влияние на пользователей. Однако он исключает из политики обнаружения риска Низкий и Средний , что не может блокировать злоумышленник от использования скомпрометированной личности. Выбор нижнего порога вводит дополнительные прерывания пользователя, но повышает уровень безопасности.

Исключения

Все политики позволяют исключать пользователей, таких как учетные записи администратора для экстренного доступа или взлома.Организации могут решить, что им необходимо исключить другие учетные записи из определенных политик, в зависимости от того, как они используются. Все исключения следует регулярно пересматривать, чтобы убедиться, что они по-прежнему применимы.

Настроенные доверенные сетевые расположения используются Identity Protection при обнаружении некоторых рисков для уменьшения количества ложных срабатываний.

Включить политики

Чтобы активировать политики риска для пользователей и рисков входа, выполните следующие действия.

  1. Перейдите на портал Azure.
  2. Перейдите к Azure Active Directory > Security > Identity Protection > Overview .
  3. Выберите Политика пользовательского риска .
    1. До Назначений
      1. Пользователи — Выберите Все пользователи или Выберите отдельных лиц и группы , если вы ограничиваете развертывание.
        1. При желании вы можете исключить пользователей из политики.
      2. Условия Риск для пользователя Microsoft рекомендует установить для этого параметра значение High .
    2. Под Контроль
      1. Доступ — Microsoft рекомендует Разрешить доступ и Требовать смену пароля .
    3. Политика применения На
    4. Сохранить — это действие вернет вас на страницу обзора .
  4. Выберите Политика риска при входе .
    1. До Назначений
      1. Пользователи — Выберите Все пользователи или Выберите отдельных лиц и группы , если вы ограничиваете развертывание.
        1. При желании вы можете исключить пользователей из политики.
      2. Условия Риск входа Microsoft рекомендует установить для этого параметра значение Среднее и выше .
    2. Под Контроль
      1. Доступ — Microsoft рекомендует Разрешить доступ и Требовать многофакторную аутентификацию .
    3. Политика применения На
    4. Сохранить

Следующие шаги

Работа с политиками безопасности | Документы Microsoft

  • 5 минут на чтение

В этой статье

В этой статье объясняется, как настраиваются политики безопасности и как их просматривать в Центре безопасности.

Введение в политики безопасности

Политика безопасности определяет желаемую конфигурацию ваших рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей компании или регулирующих органов.

Центр безопасности Azure дает рекомендации по безопасности на основе выбранных вами политик. Политики центра безопасности основаны на инициативах политики, созданных в политике Azure. Вы можете использовать политику Azure для управления своими политиками и для установки политик в группах управления и в нескольких подписках.

Security Center предлагает следующие варианты работы с политиками безопасности:

  • Просмотр и редактирование встроенной политики по умолчанию. — При включении Security Center встроенная инициатива с именем «ASC default» автоматически назначается всем зарегистрированным подпискам Security Center. Чтобы настроить эту инициативу, вы можете включить или отключить отдельные политики в ней. См. Список встроенных политик безопасности, чтобы понять, какие параметры доступны по умолчанию.

  • Добавьте свои собственные политики — Если вы хотите настроить инициативы безопасности, применяемые к вашей подписке, вы можете сделать это в Центре безопасности. Затем вы получите рекомендации, если ваши машины не соблюдают созданные вами политики. Инструкции по созданию и назначению настраиваемых политик см. В разделе Использование настраиваемых политик безопасности.

  • Добавить политики соответствия нормативным требованиям — Панель мониторинга соответствия нормативным требованиям Центра безопасности показывает состояние всех оценок в вашей среде в контексте конкретного стандарта или нормативного акта (например, Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF- v2020).Дополнительные сведения см. В разделе Повышение соответствия нормативным требованиям.

Управляйте политиками безопасности

Для просмотра политик безопасности в Центре безопасности:

  1. На панели мониторинга Security Center выберите Security policy .

    На экране Управление политиками вы можете увидеть количество групп управления, подписок и рабочих областей, а также структуру вашей группы управления.

  2. Выберите подписку или группу управления, политики которой вы хотите просмотреть.

  3. Откроется страница политики безопасности для этой подписки или группы управления. Он показывает доступные и назначенные политики.

    Примечание

    Если рядом с политикой по умолчанию есть метка «MG Inherited», это означает, что политика была назначена группе управления и унаследована просматриваемой подпиской.

  4. Выберите один из доступных вариантов на этой странице:

    1. Для работы с отраслевыми политиками выберите Добавить дополнительные стандарты .Дополнительные сведения см. В разделе Обновление пакетов динамического соответствия.

    2. Чтобы назначить настраиваемые инициативы и управлять ими, выберите Добавить настраиваемые инициативы . Дополнительные сведения см. В разделе Использование настраиваемых политик безопасности.

    3. Чтобы просмотреть и изменить политику по умолчанию, выберите Просмотреть действующую политику и действуйте, как описано ниже.

      Этот экран политики безопасности отражает действия, предпринимаемые политиками, назначенными для выбранной подписки или группы управления.

      • Используйте ссылки вверху, чтобы открыть назначение политики , которое применяется к подписке или группе управления. Эти ссылки позволяют получить доступ к назначению и изменить или отключить политику. Например, если вы видите, что конкретное назначение политики фактически запрещает защиту конечной точки, используйте ссылку, чтобы изменить или отключить политику.

      • В списке политик вы можете увидеть эффективное применение политики в вашей подписке или группе управления.Учитываются параметры каждой политики, применяемые к области действия, и отображается совокупный результат действий, предпринятых политикой. Например, если в одном назначении политика отключена, а в другом задано значение AuditIfNotExist, то кумулятивный эффект применяется AuditIfNotExist. Более активный эффект всегда имеет приоритет.

      • Эффект политик может быть следующим: Добавить, Аудит, AuditIfNotExists, Запретить, DeployIfNotExists, Отключено. Дополнительные сведения о том, как применяются эффекты, см. В разделе Общие сведения об эффектах политики.

      Примечание

      При просмотре назначенных политик вы можете увидеть несколько назначений и увидеть, как каждое назначение настраивается отдельно.

Кто может редактировать политики безопасности?

Политики безопасности можно редактировать через портал политики Azure, через REST API или с помощью Windows PowerShell.

Центр безопасности

использует контроль доступа на основе ролей (RBAC), который предоставляет встроенные роли, которые вы можете назначать пользователям, группам и службам Azure.Когда пользователи открывают Центр безопасности, они видят только информацию, относящуюся к ресурсам, к которым они имеют доступ. Это означает, что пользователям назначается роль владельца , участника или читателя подписки на ресурс. Также есть две определенные роли Центра безопасности:

  • Считыватель безопасности : имеет права на просмотр элементов центра безопасности, таких как рекомендации, предупреждения, политика и состояние. Не могу внести изменения.
  • Администратор безопасности : имеет те же права просмотра, что и считыватель безопасности .Также может обновлять политику безопасности и отклонять предупреждения.

Отключить политики безопасности и отключить рекомендации

Когда ваша инициатива по обеспечению безопасности вызывает рекомендацию, не имеющую отношения к вашей среде, вы можете предотвратить повторное появление этой рекомендации. Чтобы отключить рекомендацию, отключите определенную политику, которая генерирует рекомендацию.

Рекомендация, которую вы хотите отключить, по-прежнему будет отображаться, если она требуется для нормативного стандарта, который вы применили с помощью инструментов обеспечения соответствия нормативным требованиям Security Center.Даже если вы отключили политику во встроенной инициативе, политика в инициативе регулирующего стандарта все равно будет вызывать рекомендацию, если это необходимо для соответствия. Вы не можете отключить политики из нормативных инициатив.

Дополнительные сведения о рекомендациях см. В разделе «Управление рекомендациями по безопасности».

  1. В Центре безопасности в разделе Политика и соответствие выберите Политика безопасности .

  2. Выберите подписку или группу управления, для которой вы хотите отключить рекомендацию.

    Примечание

    Помните, что группа управления применяет свои политики к своим подпискам. Следовательно, если вы отключите политику подписки и подписка принадлежит группе управления, которая по-прежнему использует ту же политику, вы по-прежнему будете получать рекомендации по политике. Политика по-прежнему будет применяться на уровне управления, а рекомендации по-прежнему будут генерироваться.

  3. Выберите Просмотреть действующую политику .

  4. Выберите назначенную политику.

  5. В разделе ПАРАМЕТРЫ найдите политику, которая вызывает рекомендацию, которую вы хотите отключить, и в раскрывающемся списке выберите Отключено

  6. Выбрать Сохранить .

    Примечание

    Изменения политики отключения могут вступить в силу в течение 12 часов.

Следующие шаги

В этой статье описаны политики безопасности. Дополнительную информацию см. В следующих статьях:

2 Шифрование и его приложения | Расшифровка дебатов о шифровании: основа для лиц, принимающих решения

может их полностью сломать. 5 Более того, ошибки в программном обеспечении, реализующем алгоритмы, могут оставаться незамеченными в течение многих лет. 6 Если бы новая схема шифрования была разработана с целью поддержки доступа третьих сторон, она потребовала бы такого же внимания к проектированию и проектированию, а также сопоставимой тщательности, если бы ей можно было доверять так же, как и существующим схемам. 7

Криптография — очень активная область исследований, в которой продолжают разрабатываться, стандартизироваться и внедряться новые методы.Например, наиболее широко используемый метод симметричного шифрования, AES, был стандартизирован в 2001 году. Общий способ использования AES, названный AES-Galois / Counter Mode, был разработан в 2005 году. Новый метод шифрования данных кредитной карты, названный шифрование с сохранением формата было стандартизировано в 2013 году. Шифры с открытым ключом, разработанные для защиты от квантовых компьютеров (которые — если они будут реализованы в большом масштабе — предоставят новые мощные возможности злоумышленникам, стремящимся взломать шифрование), разрабатываются только сейчас и, как ожидается, будут стандартизирован в середине 2020-х гг. 8 С 2008 года были изобретены новые методы шифрования, которые позволяют обрабатывать зашифрованные данные без дешифрования. Такие методы — если их производительность может быть улучшена до практического применения — могут снизить, например, риск использования облачных вычислений для обработки конфиденциальных данных, а также будут иметь последствия для государственного доступа. Одно из возможных последствий этого постоянного нововведения, которое следует учитывать, заключается в том, может ли государственная политика, требующая использования определенных технологий, препятствовать будущему прогрессу.Например, инновации в Соединенных Штатах могут быть остановлены, если внутри страны будет разрешен только один метод шифрования или класс методов шифрования.

___________________

5 Например, добавление функции сжатия для пакетов безопасности транспортного уровня (TLS) внесло значительную уязвимость, открыв мощную атаку по побочным каналам. См. J. Kelsey, 2002, «Сжатие и утечка информации открытого текста», стр. 263-276 в Revised Papers 9-го Международного семинара по быстрому программному шифрованию, FSE’02 , Springer-Verlag, London, U.К. http://dl.acm.org/citation.cfm?id=647937.741226. Эта уязвимость лежит в основе эксплойта CRIME для использования секретных веб-файлов cookie через соединения, использующие сжатие данных, что позволяет злоумышленнику захватить сеанс, прошедший проверку подлинности.

6 Например, исследование ключей шифрования, используемых для веб-трафика, выявило уязвимости из-за плохо реализованных алгоритмов генерации ключей. См. A. Lenstra, J.P. Hughes, M. Augier, J.W. Бос, Т. Кляйнджунг и К.Вахтер, 2012 г., «Рон ошибался, Уит прав», Технический отчет IACR , https://eprint.iacr.org/2012/064.pdf.

7 Об этом говорится в отчете Национального исследовательского совета за 1996 год, но рекомендация по внедрению и тестированию системы исключительного доступа в большом масштабе так и не была выполнена. См. Национальный исследовательский совет, 1996 г., Роль криптографии в защите информационного общества , National Academy Press, Вашингтон, округ Колумбия,

8 Национальный институт стандартов и технологий, 2017, «Пост-квантовый криптопроект: семинары / хронология», 24 апреля, http: // csrc.nist.gov/groups/ST/post-quantum-crypto/workshops.html.

Уязвимость

0day (бэкдор) в прошивке для видеорегистраторов, сетевых видеорегистраторов и IP-камер на базе Xiaongmai / Хабр


Это полное раскрытие недавнего бэкдора, интегрированного в устройства DVR / NVR, построенные на базе HiSilicon SoC с прошивкой Xiaongmai. Описанная уязвимость позволяет злоумышленнику получить доступ к корневой оболочке и полный контроль над устройством. Формат полного раскрытия информации для этого отчета был выбран из-за отсутствия доверия к поставщику.Доказательство концептуального кода представлено ниже.

Предыдущая работа и исторический контекст


В самых ранних известных версиях был включен доступ по telnet со статическим паролем root, который можно было восстановить из образа прошивки с (относительно) небольшими вычислительными затратами. Об этой уязвимости говорилось в предыдущей статье автора в 2013 году. В 2017 году Иштван Тот провел наиболее полный анализ прошивки цифрового видеорегистратора. Он также обнаружил уязвимость удаленного выполнения кода на встроенном веб-сервере и многие другие уязвимости.Стоит отметить, что производитель проигнорировал раскрытие информации.

В более поздних версиях прошивки по умолчанию отключены доступ по Telnet и порт отладки (9527 / tcp). Вместо этого у них был открытый порт 9530 / tcp, который использовался для приема специальной команды для запуска демона telnet и включения доступа к оболочке со статическим паролем, который одинаков для всех устройств. Такому делу посвящены статьи:


В самых последних версиях встроенного ПО есть открытый порт 9530 / tcp, который прослушивает специальные команды, но для их фиксации требуется криптографическая аутентификация запрос-ответ.Это предмет фактического раскрытия.

Технические характеристики


Обсуждаемые уязвимые устройства DVR / NVR / IP-камеры работают под управлением Linux с минимальным набором утилит, предоставляемым busybox, основным видеоприложением Sofia и небольшим набором специальных дополнительных утилит, отвечающих за поддержку работы устройства. Оборудование имеет процессор на базе ARM от десятков до сотен мегабайт оперативной памяти.

Устройство с уязвимой прошивкой имеет процесс macGuarder или dvrHelper , который работает и принимает соединения через TCP-порт 9530.Строки кода и журнала предполагают, что macGuarder раньше был отдельным процессом, но позже его функции были объединены в процесс dvrHelper как отдельный поток.

Стоит отметить, что в более ранних версиях прошивки процесс dvrHelper был скомпилирован в busybox как дополнительный апплет. Принимая во внимание, что у busybox есть лицензия GNU GPL, возможно нарушение лицензии имеет место из-за того, что программное обеспечение dvrHelper распространялось без исходного кода.

Успешный процесс активации бэкдора выглядит следующим образом:

  1. Клиент открывает соединение с портом TCP-порт 9530 устройства и отправляет строку OpenTelnet: OpenOnce с добавлением байта, указывающего общую длину сообщения.Этот шаг является последним для предыдущих версий бэкдора. Если после этого шага ответа нет, возможно, telnetd уже был запущен.
  2. Сервер (устройство) отвечает строкой randNum: XXXXXXXX , где XXXXXXXX — случайное 8-значное десятичное число.
  3. Client использует свой предварительно общий ключ и создает ключ шифрования как соединение полученного случайного числа и PSK.
  4. Клиент шифрует случайное число с помощью ключа шифрования и отправляет его после строки randNum: .Ко всему сообщению добавляется байт, указывающий общую длину сообщения.
  5. Сервер загружает тот же общий ключ из файла / mnt / custom / TelnetOEMPasswd или использует ключ по умолчанию 2wj9fsa2 , если файл отсутствует.
  6. Сервер выполняет шифрование случайного числа и проверяет, что результат идентичен строке от клиента. В случае успеха сервер отправляет строку verify: OK или verify: ERROR в противном случае.
  7. Клиент шифрует строку Telnet: OpenOnce , добавляет к ней байты общей длины, CMD: строку и отправляет на сервер.
  8. Сервер извлекает и расшифровывает полученную команду. Если результат дешифрования равен строке Telnet: OpenOnce , он отвечает Open: OK , включает порт отладки 9527 и запускает демон telnet.

Весь процесс аутентификации может напоминать некую разновидность аутентификации запрос-ответ HMAC, за исключением того, что он использует симметричный шифр вместо хэша. Этот конкретный симметричный шифр напоминает некоторый вариант 3DES-EDE2 для ключей длиной более 8 байтов и похож на простой DES для более коротких ключей.

Легко видеть, что все, что требуется клиентам для успешной аутентификации, — это знание PSK (который является обычным и может быть получен из прошивки в виде открытого текста) и реализация этого симметричного блочного шифра. Восстановление этой реализации симметричного шифра наиболее сложно, но это было достигнуто в ходе этого исследования. Исследования и тесты проводились с использованием этого набора инструментов:

  • Ghidra 9.1.1 от NSA (https://ghidra-sre.org/) — набор для проверки исполняемого двоичного кода.
  • QEMU (точнее qemu-user в Debian chroot — https: // www.qemu.org/) — программное обеспечение, позволяющее прозрачно выполнять исполняемые файлы сторонней архитектуры (ARM) на хосте.
  • Общие утилиты и набор инструментов GNU.

После активации демон telnet весьма вероятно, что он примет одну из следующих пар логин / пароль:

Эти пароли можно восстановить как из прошивки, так и путем перебора хешей в файле / etc / passwd . Современный GPGPU потребительского уровня с hashcat способен находить предварительный образ для хеширования за считанные часы.

Порт отладки 9527 принимает тот же логин / пароль, что и веб-интерфейс, а также обеспечивает доступ к оболочке и функции для управления устройством. Говоря об учетных записях веб-интерфейса, злоумышленник может сбросить пароль или получить хэши паролей из файлов / mnt / mtd / Config / Account * . Хеш-функция была описана в предыдущем исследовании Иштвана Тота.

Затронутые устройства


Предыдущее исследование показало хорошую коллекцию затронутых брендов: https://github.com/tothi/pwn-hisilicon-dvr#summary. Существуют десятки марок и сотни моделей.

Автор этого отчета, опираясь на опрос случайных IP-адресов, оценивает общее количество уязвимых устройств, доступных через Интернет, где-то между сотнями тысяч и миллионами.

Наверное, самый простой способ проверить, уязвимо ли ваше устройство, — это PoC-код, указанный ниже.

Тестирование уязвимости


PoC-код: https://github.com/Snawoot/hisilicon-dvr-telnet.

Построение программы PoC из исходного кода: запустите make в исходном каталоге.

Использование: ./hs-dvr-telnet HOST PSK

Наиболее распространенный PSK — стандартный: 2wj9fsa2 .]’.Логин LocalHost: root Пароль: IP-адрес

в приведенном выше примере — это IP-адрес из блока адресов, зарезервированный для документации RFC5737.

Устройство должно считаться уязвимым, если:

  • Telnet-порт открывается после запуска hs-dvr-telnet .
  • Устройство отвечает запросом на запрос hs-dvr-telnet . Даже если проверка не удалась из-за неправильного PSK, существует правильный PSK, извлекаемый из прошивки.
  • hs-dvr-telnet зависает в ожидании ответа, но порт telnet открывается (это произойдет со старыми версиями прошивки, для которых требуется только команда OpenTelnet: OpenOnce ).

Смягчение последствий


Принимая во внимание более ранние фиктивные исправления этой уязвимости (фактически, бэкдор), нецелесообразно ожидать исправлений безопасности для прошивки от производителя. Владельцам таких устройств стоит подумать о переходе на альтернативы.

Однако, если замена невозможна, владельцы устройств должны полностью ограничить сетевой доступ к этим устройствам для доверенных пользователей. В этой уязвимости задействованы порты 23 / tcp, 9530 / tcp, 9527 / tcp, но более ранние исследования показывают, что нет уверенности, что реализация других сервисов является надежной и не содержит RCE уязвимостей.

Объекты, не охваченные данным исследованием


Анализ кода показал, что процедура аутентификации на порту 9530 расшифровывает полезную нагрузку «CMD» произвольного размера (до размера буфера, считываемого сразу из сокета) в буфер на стеке с фиксированным размером 32 байта. Целенаправленное использование этого переполнения требует знания PSK, поэтому для получения доступа более практично действовать обычным способом. С другой стороны, мусор, отправленный с командой CMD, может вызвать повреждение стека и сбой демона dvrHelper.Возможные последствия этого (потенциального) сбоя не изучались, потому что бэкдор macGuarder / dvrHelper выглядит строго превосходным и прямым подходом.

ОБНОВЛЕНИЕ (2020-02-05 02: 10 + 00: 00): Иштван Тот, автор предыдущих исследований по этой теме, представил свою собственную реализацию программы PoC: https://github.com/tothi/hs- dvr-telnet Данная реализация написана на чистом коде Python и реализует симметричный шифр более понятным образом. Также в нем описаны различия между вариантом шифра 3DES, используемым Xiongmai для аутентификации бэкдора, и оригинальным шифром 3DES.Эти различия могут быть выражены этим git-коммитом: https://github.com/tothi/pyDes/commit/7a26fe09dc5b57b175c6439fbbf496414598a7a2.

ОБНОВЛЕНИЕ (2020-02-05 17: 28 + 00: 00): Другие исследователи и пользователи Хабра отметили, что такая уязвимость ограничена устройствами на основе программного обеспечения Xiongmai (Hangzhou Xiongmai Technology Co, XMtech), включая продукты другие поставщики, которые поставляют продукты на основе такого программного обеспечения. На данный момент HiSilicon не может нести ответственность за бэкдор в двоичном файле dvrHelper / macGuarder.

ОБНОВЛЕНИЕ (2020-02-21 10: 30 + 00: 00): Xiaongmai признал уязвимость и выпустил рекомендации по безопасности: ссылка, архив 1, архив 2.