View
3
Download
0
Category
Preview:
Citation preview
Мэдээлэл солилцох системийн аюулгүй байдал
Margus PüüaАхлах шинжээч
2
X-Road хамгаалагдсан мэдээдэл солилцох давхарга
• X-Road бол тархсан, хамгаалагдсан, стандартчлагдсан өгөгдөл, мэдээлэл солилцох шийдэл.
• Төрийн болон хувийн хэвшлийн байгууллагууд бүгд ашиглах боломжтой.
• X-Road олон салбарын цахим үйлчилгээнүүдэд нэгэн зэрэг ажиллах боломжтой.
Байгууллага BБайгууллага A
Ямар асуудлыг шийдэх вэ?
Дата эх үүсвэр
Хэрэглэг
-чийн
өгөгдөл
Хүлээн авсан өгөгдлийг хэн нэгэн өөрчилж чадахгүй
Өгөгдөл нэвтрэх
боломжгүй
Хүртээмжтэй байдал 99,999%
төрийн үйлчилгээ
Source: Cybernetica AS
Юуг хамгаалдаг вэ–Өгөгдөл эсвэл сувгууд?
• Хүнийг хамгаалах ёстой юу?, Чиглэл, сувгийг хамгаалах ёстой юу?
• Бид өгөгдлийг сонгосон
• Ихэнх халдлагууд дотоодоос илэрдэг (80%)
• Бид олон нийтийн интернэт ашигладаг, гэвч өгөгдөл бол шифрлэгдсэн байдаг.
• Нэмэлт сувгууд нэмэгдэх боломжтой.
Тархсан солилцоо
Source: Cybernetica AS
X-Road-н өмнөх архитектур
Аюулгүй байдлын серверүүдийн архитектур
Source: Cybernetica AS
Төвийн үйлчилгээнүүд:
• Баталгаажуулалт;• Хамгаалагдсан
үйлчилгээний лавлах;• Хяналт, үнэлгээ
X-Road Архитектур
Source: Cybernetica AS
Төв сервер
Төв сервер X-road хэрэглэгчийн баталгаажуулалт, IP хаягийн
мэдээллийг үүсгэдэг.
Төв сервер дараах үүрэгтэй:
DNSSEC –IP хаяг болон x-road-н эцсийн хэрэглэгчид/нийлүүлэгч
гэрчилгээний хэвлэлт;
DNSSEC -нийтийн түлхүүрийг HTTP-с татах;
Төв хяналтын серверийн тухай мэдээлэл түгээх;
Гэрчилгээжүүлэх байгууллагын серверийн баталгаажуулалт;
NTP-Сервер – Аюулгүй байдлын серверүүд цагийн синрончлол;
Аюулгүй байдлын серверээс бүртгэлийн мэдээлэл;
Гэрчилгээжүүлэх байгууллагын
сервер• Гэрчилгээжүүлэх байгууллагын сервер бол оффлайн сервер;
• Аюулгүй байдлын серверийн X.509 гэрчилгээ
– Бие биеэ таниж баталгаажуулах
– Лавлах болон хариу үйлдлийн тоон гарын үсэг
• X-road нь хэрэглэгчдийн өгөгдлийн сангаар гэрчилгээжүүлдэг ба
IP хаяг нь ГБ-ын серверээс удирдагдана.
• Оффлайн үйлчилгээ нь хамгаалагдсан санах байгууламж дахь
тоног төхөөрөмжийн аюулгүй байдлын модул (HSM)-ийг
ашигладаг.
• Гэрчилгээ болон IP хаягууд нь Төв Сервер рүү экспортлогддог
бөгөөд зөөгч төхөөрөмж (USB флэш диск) ашигладаг.
Төв хяналтын сервер
X-road-ийн аюулгүй байдлыг мониторингийн төв хангадаг - Системийн
администраторуудад төв серверийн статусыг мэдээллэдэг;
аюулгүй байдлын серверүүдийн болон төв серверүүдийн мэдээллийг
тогтмол хүлээж авдаг (CPU, санах ой, диск, бусад …);
Мониторингийн төв мөн үйлчилгээ ашиглалтын мэдээллийг цуглуулдаг
Ашиглалтын мэдээлэл зөвхөн мета-дата агуулдаг (хайлтын цаг,
хэрэглэгчийн ID, хэрэглэгч байгууллагын ID, өгөгдлийн сангийн болон
үйлчилгээний нэр ).
Аюулгүй байдлын серверАюулгүй байдлын сервер бол үйлчилгээ үзүүлэгч болон эцсийн хэрэглэгч
хоорондын өгөгдөл солилцох тусгай зориулалтын итгэмжлэгдсэн сервер
Аюулгүй байдлын серверийн үүргүүд:
TLS хамгаалалттай сувгаар үйлдвэрлэгч/хэрэглэгч-н хүсэлтийг дамжуулах;
хэрэглэгчийн/үйлдвэрлэгчийн гэрчилгээ хүчинтэй эсэхийг шалгах;
шифрлэх/өгөгдлийн код тайлах (TLS SOAP VPN );
Хэрэв хэрэглэгч үйлчилгээнд нэвтрэх зөвшөөрөлтэй бол шалгах;
Бүртгэх (хүсэлт/хариу ‘sslog’);
Төв серверийн аюулгүй байдлыг хадгалж хамгаалах;
Дотоод хяналтын сервер
• Дотоод хяналтын серверүүдээс гадна орон нутгийн хэмжээнд зарим аюулгүй байдлын серверүүд суурилуулагдсан байдаг.
• Мэдээллийг хүлээн авдаг мөн зөвхөн аюулгүй байдлын серверүүд рүү мэдээллийн хуулбарыг илгээдэг.
• Төв хяналтын серверүүд шиг адилхан дүн шинжилгээ хийдэг, гэхдээ зөвхөн дотоод админуудын хүрээнд
Хувиргагч сервер
Хувиргагч сервер нь өгөгдлийн сан хайлт хийж тодорхойформатын дагуу X-road руу илгээх Вэб үйлчилгээ үзүүлэгч юм.
X-Road хэрхэнажилладаг вэ?
16
Хувиргах сервер
Аюулгүй байдлын сервер
Өгөгдлийн сангийн сервер
Үйлчилгээ нийлүүлэгчбайгуулагч
Аппликейшнсервер
Хэрэглэгчид
Аюулгүй байдлын сервер
Хэрэглэгчдэд үйлчлэхбайгууллага
X-Road
centralservers
Төвхяналтынсервер X-road төв
байгууллага
Аюулгүй байдлын сервер
Интернэт
Баярлалаа!
margus.pyya@ega.ee
Recommended