Embed Size (px)
DESCRIPTION
Bez pečnosť aplikácií. CSP, PKI, riadenie bezpečnosti v prostredí MV Viera Uhrinová, CISA. MV SR, Hotel Šachtička | 13. m ája 2008. Agenda. Centrálna správa používateľov (CSP) a ďalšie možnosti jej rozvoja Vyžitie a rozvoj PKI, elektronický podpis - PowerPoint PPT Presentation
Citation preview
© 2008 IBM Corporation
Business Unit or Product Name
Bezpečnosť aplikácií
CSP, PKI, riadenie bezpečnosti v prostredí MV
Viera Uhrinová, CISA
MV SR, Hotel Šachtička | 13. mája 2008
2
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Agenda
Centrálna správa používateľov (CSP) a ďalšie možnosti jej rozvoja
Vyžitie a rozvoj PKI, elektronický podpis Riadenie bezpečnosti, bezpečnostná architektúra Otázky
3
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Stručná charakteristika CSP Správa účtov (LDAP účet, aplikačný účet) založená na
koncepte Role Based Access Control (RBAC)
Prečo CSP? Zefektívnenie správy používateľských účtov (rádovo tisícky) pre
jednotlivé systémy -> jednotné rozhranie pre správu účtov rôznych systémov vrátane hromadných operácií
Zníženie chybovosti pri správe účtov
Zlepšenie audítovateľnosti správy používateľov -> jednotný formát logovania operácií nad účtami rôznych systémov
Zvýšenie kontroly správy účtov -> reporty, rekonciliácia (spätné získavanie informácií o účtoch z LDAPu a AAM modulov a vyhodnotenie zhody účtov voči prideleným superroliam a obrazu účtov v CSP)
4
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
CSP architektúra
Koncové systémy
LDAP
REGOB
PATROS
PATRMV
Princípy riadenia prístupov (napr. katalóg superrolí)Politiky pre: vytváranie účtov, hesielProcesy: životný cyklus používateľov a účtov
Súbor pre hromadné operácie nad používateľmi (XML)
Excel aplikácia pre prácu so súborom pre hromadné operácie
Hromadný import/export Údajovo používateľoch
CSP
Reporty (výstup z lustrácií)
Používatelia
Administrátori
Operátori a helpdesk
Lustrátori
5
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Možnosti integrácie CSP so systémom SAP HR I.
Koncové systémy
LDAP
REGOB
PATROS
PATRMV
Princípy riadenia prístupov (napr. katalóg superrolí)Politiky pre: vytváranie účtov, hesielProcesy: životný cyklus používateľov a účtov
Súbor pre hromadné operácie nad používateľmi (XML)
Excel aplikácia pre prácu so súborom pre hromadné operácie
Hromadný import/export Údajovo používateľoch
LDAP adaptér
PATROS adaptér
Univerzálny app. adaptér
REGOB adaptér
CSP
Reporty (výstup z lustrácií)
Používatelia
Administrátori
Operátori a helpdesk
Lustrátori
SAPŠtandardný adaptér
1. Správa účtov v systéme SAP prostredníctvom CSP (jednotný princíp vytvárania účtov v aplikáciách)
6
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Možnosti integrácie CSP so systémom SAP HR II.
Koncové systémy
LDAP
REGOB
PATROS
PATRMV
Princípy riadenia prístupov (napr. katalóg superrolí)Politiky pre: vytváranie účtov, hesielProcesy: životný cyklus používateľov a účtov
Súbor pre hromadné operácie nad používateľmi (XML)
Excel aplikácia pre prácu so súborom pre hromadné operácie
Hromadný import/export Údajovo používateľoch
CSP
Reporty (výstup z lustrácií)
Používatelia
Administrátori
Operátori a helpdesk
Lustrátori
SAP
SynchronizáciaInformácií
o zamesntnancoch
Databáza zamestnancov
2. Získavanie informácií o zamestnancoch zo SAP databázy a nahrávanie do CSP (aktuálnosť informácií, zníženie počtu ľudských chýb ktoré sa zanášajú do aplikácií)
7
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
CSP: ďalšie možnosti rozvoja
Koncové systémy
LDAP
REGOB
PATROS
PATRMV
Princípy riadenia prístupov (napr. katalóg superrolí)Politiky pre: vytváranie účtov, hesielProcesy: životný cyklus používateľov a účtov
Súbor pre hromadné operácie nad používateľmi (XML)
Excel aplikácia pre prácu so súborom pre hromadné operácie
Hromadný import/export Údajovo používateľoch
LDAP adaptér
PATROS adaptér
Univerzálny adaptér
REGOB adaptér
CSP
Reporty (výstup z lustrácií)
Administrátori
Operátori a helpdesk
Lustrátori
SAP
SynchronizáciaInformácií
o zamesntnancoch
Databáza zamestnancov
SAP
Štandardný SAP adaptér
Ďalšia aplikácia
Univerzálny alebo „dummy“adaptér
Koncoví používatelia
1. Integrácia SAP HR systému do CSP z pohľadu správy účtov
2. Získavanie informácií o zamestnancoch zo SAP HR databázy
3. Začleňovanie ďalších aplikácií do CSP prostredníctvom univerzálneho adaptéra alebo „dummy“ adaptéra
4. Implementácia procesov do CSP (elektronické podávanie žiadostí o prístup do aplikácií, schvaľovanie žiadostí, automatické zrušovanie aplikačných účtov v prípade odchodu zamestnanca alebo zmeny pracovnej pozície, posielanie a spracovanie požiadaviek o obnovu certifikátov, atď)
5. Poskytnutie niektorých funkcií CSP pre koncových používateľov (pre potreby procesov z bodu 4)
8
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
PKI a elektronický podpis
Základné vlastnosti PKI a elektronického podpisu:
Umožňuje veľmi silnú autentifikáciu a veľmi silnú nepopierateľnosť – pre prístup k citlivým dátam.
Pokrytie viacerých základných princípov bezpečnosti jedným nástrojom– integrita údajov (integrity)
– nepopierateľnosť (non-repudiation)
– sledovateľnosť (accountability)
– dôvernosť informácií (confidentiality)Podľa ISO 17999: „confidentiality: ensuring that information is accessible only to those authorized to have access“ = autentifikácia.
Rýchlosť a presnosťPri rukou písanom podpise nie je jasné, či sa vzťahuje podpis na celý dokument, alebo len na poslednú stranu (pokiaľ nie je notársky overený). Rukou písaný podpis je možné ľahšie sfalšovať
9
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Aktuálny stav
Využívanie (SSL) certifikátov na šifrovanú komunikáciu medzi systémovými komponentami infraštruktúry
Autentikácia užívateľov bola preverená v testovacom prostredí v roku 2005 a 2006
Aplikácia na elektronický podpis bola vytvorená a otestovaná v súlade s požiadavkami dodávateľa aplikácie
Bola vybraná a odskúšaná čipová karta pre ukladanie kľúčov a certifikátu
10
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Dôvody pre nasadenie elektronického podpisu
Aplikácia Dôvod pre nasadenie EP
Pátracie agendy EP zabezpečí nepopierateľnosť zásahu policajného dôstojníka, ktorý vytvorí / upraví / zmaže záznam o pátraní po vozidle / osobe / doklade ...
REGOB, správne agendy štátnej správy a evidencie
EP zabezpečí nepopierateľnosť zásahu pracovníka štátnej správy, ktorý vydá / modifikuje doklad alebo záznam o osobe (REGOB a SA) resp. vozidle (EVO)
Schengenské systémy
EP zabezpečí nepopierateľnosť zmien v systémoch, ktoré sú následne presmerované do centrálneho Schengenského systému. V prípade VIS ide o zabezpečenie nepopierateľnosti vydávania a modifikácie víz pre cudzích štátnych príslušníkov
eGov EP bude nevyhnutné pri zavedení služieb občanom, ktorí prostredníctvom internetu dostanú možnosť využívať online služby MVSR. Pomocou certifikátu v čipe na ID karte bude možné zabezpečiť nepopierateľnosť operácií občana pri prístupe k systémom MVSR.
11
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
PKI: ďalší rozvoj
Vytvorenie detailnej koncepcie nasadenia PKI a elektronického podpisu– Analýza existujúcich bezpečnostnývh dokumentov Bezpečnostný zámer a Bezp. Politika– Analýza požiadaviek aplikácií na el. podpis– Výber aplikácií pre nasade el. podpisu– Technický návrh a odhad nákladov
Pilotné nasadenie SSL autentifikácie vo vybranej aplikácii. Postupné nasadenie SSL autentifikácie do ďalších aplikácií.
Dobudovanie infraštruktúry pre el. podpis (napr. pomocné aplikácie pre automatickú obnovu certifikátov, automatické sledovanie expirácie certifikátov, server časových pečiatok, archivácia el. podpisu)
Certifikácia systému na elektronický podpis pre podmienky použitia Zaručeného Elektronického Podpisu (ZEP)
Zavedenie el. podpisu do aplikácií (bežný el. podpis, zaručený el. podpis)
12
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
PKI big picture
13
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Autentifikácia
Riadenie bezpečnosti CSP, PKI + elektronický podpis ale aj existujúca architektúra
infraštruktúry, riadenie prístupu do aplikácií sú niektoré z bezpečnostných opatrení, ktoré tvoria základné piliere zabezpečenie informačných systémov Ministerstva vnútra
Cieľom nasadzovania bezpečnostných opatrení je vytvorenie primerane bezpečného prostredia pre prevádzku aplikácií
?Centrálna správa
používateľov
El. podpis v aplikáciách
Riadenie prístupu
Šifrovanie komunikácie
Aplikácie
Infraštruktúra
Používatelia
Procesy
Informácie
OpatreniaZdroje
Požiadavky
14
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Riadenie bezpečnosti
ITIL, ISO 27001 (BS7799)
Riadenie bezpečnosti chápeme ako proces, ktorý je zodpovedný za udržiavanie definovanej úrovne bezpečnosti údajov a informačných systémov v organizácii (tzv. informačná bezpečnosť).
Bezpečnostná politika(organizácia bezpečnosti, roly, zodpovednosti, rozsah bezpečnosti, bezpečnostné štandardy)
Riziková analýza(definovanie bezp. požiadaviek)
Návrh nasadenia bezp. opatrení (bezpečnostná architektúra a bezpečnostný plán)
Implementácia a prevádzka bezp. opatrení
Vyhodnotenie a audit bezp. opatrení
15
Business Unit or Product Name
MV SR | Hotel Šachtička | 13. mája 2008 © 2008 IBM Corporation
Ďakujem za pozornosť
![Vyvíjame novú generáciu aplikácií [nielen pre Windows Vista] Roman Russev Academic Developer Evangelist Microsoft](https://img.pdfslide.tips/doc/110x75/56649c755503460f9492856f/vyvijame-novu-generaciu-aplikacii-nielen-pre-windows-vista-roman-russev.jpg)
