150 likes | 330 Views
Bez pečnosť aplikácií. CSP, PKI, riadenie bezpečnosti v prostredí MV Viera Uhrinová, CISA. MV SR, Hotel Šachtička | 13. m ája 2008. Agenda. Centrálna správa používateľov (CSP) a ďalšie možnosti jej rozvoja Vyžitie a rozvoj PKI, elektronický podpis
E N D
Bezpečnosť aplikácií CSP, PKI, riadenie bezpečnosti v prostredí MV Viera Uhrinová, CISA MV SR, Hotel Šachtička | 13. mája 2008
Agenda • Centrálna správa používateľov (CSP) a ďalšie možnosti jej rozvoja • Vyžitie a rozvoj PKI, elektronický podpis • Riadenie bezpečnosti, bezpečnostná architektúra • Otázky
Stručná charakteristika CSP • Správa účtov (LDAP účet, aplikačný účet) založená na koncepte Role Based Access Control (RBAC) Prečo CSP? • Zefektívnenie správy používateľských účtov (rádovo tisícky) pre jednotlivé systémy -> jednotné rozhranie pre správu účtov rôznych systémov vrátane hromadných operácií • Zníženie chybovosti pri správe účtov • Zlepšenie audítovateľnosti správy používateľov -> jednotný formát logovania operácií nad účtami rôznych systémov • Zvýšenie kontroly správy účtov -> reporty, rekonciliácia (spätné získavanie informácií o účtoch z LDAPu a AAM modulov a vyhodnotenie zhody účtov voči prideleným superroliam a obrazu účtov v CSP)
Možnosti integrácie CSP so systémom SAP HR I. 1. Správa účtov v systéme SAP prostredníctvom CSP (jednotný princíp vytvárania účtov v aplikáciách)
Možnosti integrácie CSP so systémom SAP HR II. 2. Získavanie informácií o zamestnancoch zo SAP databázy a nahrávanie do CSP (aktuálnosť informácií, zníženie počtu ľudských chýb ktoré sa zanášajú do aplikácií)
CSP: ďalšie možnosti rozvoja • Integrácia SAP HR systému do CSP z pohľadu správy účtov • Získavanie informácií o zamestnancoch zo SAP HR databázy • Začleňovanie ďalších aplikácií do CSP prostredníctvom univerzálneho adaptéra alebo „dummy“ adaptéra • Implementácia procesov do CSP (elektronické podávanie žiadostí o prístup do aplikácií, schvaľovanie žiadostí, automatické zrušovanie aplikačných účtov v prípade odchodu zamestnanca alebo zmeny pracovnej pozície, posielanie a spracovanie požiadaviek o obnovu certifikátov, atď) • Poskytnutie niektorých funkcií CSP pre koncových používateľov (pre potreby procesov z bodu 4)
PKI a elektronický podpis Základné vlastnosti PKI a elektronického podpisu: • Umožňuje veľmi silnú autentifikáciu a veľmi silnú nepopierateľnosť – pre prístup k citlivým dátam. • Pokrytie viacerých základných princípov bezpečnosti jedným nástrojom • integrita údajov (integrity) • nepopierateľnosť (non-repudiation) • sledovateľnosť (accountability) • dôvernosť informácií (confidentiality)Podľa ISO 17999: „confidentiality: ensuring that information is accessible only to those authorized to have access“ = autentifikácia. • Rýchlosť a presnosťPri rukou písanom podpise nie je jasné, či sa vzťahuje podpis na celý dokument, alebo len na poslednú stranu (pokiaľ nie je notársky overený). Rukou písaný podpis je možné ľahšie sfalšovať
Aktuálny stav • Využívanie (SSL) certifikátov na šifrovanú komunikáciu medzi systémovými komponentami infraštruktúry • Autentikácia užívateľov bola preverená v testovacom prostredí v roku 2005 a 2006 • Aplikácia na elektronický podpis bola vytvorená a otestovaná v súlade s požiadavkami dodávateľa aplikácie • Bola vybraná a odskúšaná čipová karta pre ukladanie kľúčov a certifikátu
PKI: ďalší rozvoj • Vytvorenie detailnej koncepcie nasadenia PKI a elektronického podpisu • Analýza existujúcich bezpečnostnývh dokumentov Bezpečnostný zámer a Bezp. Politika • Analýza požiadaviek aplikácií na el. podpis • Výber aplikácií pre nasade el. podpisu • Technický návrh a odhad nákladov • Pilotné nasadenie SSL autentifikácie vo vybranej aplikácii. Postupné nasadenie SSL autentifikácie do ďalších aplikácií. • Dobudovanie infraštruktúry pre el. podpis (napr. pomocné aplikácie pre automatickú obnovu certifikátov, automatické sledovanie expirácie certifikátov, server časových pečiatok, archivácia el. podpisu) • Certifikácia systému na elektronický podpis pre podmienky použitia Zaručeného Elektronického Podpisu (ZEP) • Zavedenie el. podpisu do aplikácií (bežný el. podpis, zaručený el. podpis)
Riadenie bezpečnosti • CSP, PKI + elektronický podpis ale aj existujúca architektúra infraštruktúry, riadenie prístupu do aplikácií sú niektoré z bezpečnostných opatrení, ktoré tvoria základné piliere zabezpečenie informačných systémov Ministerstva vnútra • Cieľom nasadzovania bezpečnostných opatrení je vytvorenie primerane bezpečného prostredia pre prevádzku aplikácií Požiadavky Autentifikácia Aplikácie El. podpis v aplikáciách Informácie ? Šifrovanie komunikácie Infraštruktúra Riadenie prístupu Používatelia Centrálna správa používateľov Opatrenia Zdroje Procesy
Riadenie bezpečnosti Bezpečnostná politika(organizácia bezpečnosti, roly, zodpovednosti, rozsah bezpečnosti, bezpečnostné štandardy) Riziková analýza(definovanie bezp. požiadaviek) Návrh nasadenia bezp. opatrení (bezpečnostná architektúra a bezpečnostný plán) Implementácia a prevádzka bezp. opatrení Vyhodnotenie a audit bezp. opatrení ITIL, ISO 27001 (BS7799) Riadenie bezpečnosti chápeme ako proces, ktorý je zodpovedný za udržiavanie definovanej úrovne bezpečnosti údajov a informačných systémov v organizácii (tzv. informačná bezpečnosť).