250 likes | 380 Views
A Magyar Honvédség információs rendszereinek korszerűsítésével kapcsolatos információvédelmi feladatok. Kassai Károly mk. alezredes HM IIF/EIO. 2007. 11. 27. Robotwarfare/IO/INFOSEC/IA/CD.
E N D
A Magyar Honvédség információs rendszereinek korszerűsítésével kapcsolatos információvédelmi feladatok Kassai Károly mk. alezredes HM IIF/EIO 2007. 11. 27. Robotwarfare/IO/INFOSEC/IA/CD
„A haditudomány arra tanít bennünket, ne abban bízzunk, hogy az ellenség nem fog jönni, hanem abban, hogy mi készen állunk fogadására; sem annak lehetőségében, hogy nem fog támadni, hanem inkább abban a tényben, hogy pozíciónkat bevehetetlenné tettük”(Szun Ce: A hadviselés tudománya, VIII. 11.)
Információvédelem Szükséges mértékben biztonságos vezetési és működési folyamatok Fókuszban
Titokvédelmi felügyelő, biztonsági megbízott, informatikai biztonsági vezető, rejtjelfelügyelet vezető (rejtjelfelügyelő) Számítástechnikai titokvédelmi felelős, adatvédelmi tiszt, híradó biztonsági tiszt, rendszerbiztonsági felelős, rendszerüzemeltetés biztonsági felelős, rejtjelző Ügykezelő, nyilvántartó, hadműveleti tiszt Zártcélú hálózat Híradás, híradó rendszer Katonai, tábori, közigazgatási informatikai rendszer Rejtjelző rendszer/hálózat Ügyviteli és nyilvántartó rendszer Feldolgozó helyiség/titokszoba Átalakulás alatti kis világaink • Cél a széttagolt felelősségi rend, és a szigetszerű kialakítások felszámolása
Szemléletváltás szükségessége • Hadműveleti (felhasználói) követelmények • Először igény, aztán a megoldás, és nem fordítva • Adatkezelő megoldások • télen-nyáron, éjjel-nappal, itthon-külföldön, irodában, terepen és műveleti területen, megosztva-elkülönítve • Biztonsági követelmények • Adatkezelési folyamat, üzemeltetési helyszín és rendszer-specifikus jellemzők • Szolgáltatás biztosítása • üzemeltetés, biztonság • Az információs képességek kialakítása és fenntartása önálló szakmai feladatok (felelősségek) összehangolásának eredménye
Szolgáltatás-orientált megközelítés és életciklus szemlélet • Az ad-hoc jellegű kialakításokat MH szinten szervezett folyamatokkal kell kiváltani • A hálózatokat korszerű megoldásokkal kell menedzselni Szolgáltatás igénylése Kialakítás Rendelkezésre bocsátás és fenntartás • Legalizálás • Kialakított eljárásrend (elrendelés, jóváhagyás) • Hitelesítés, akkreditálás • Változáskezelés • Üzemeltetés támogatása • Projektekben való gondolkodás és annak vezetői támogatása • Kockázatok elemzése • Biztonság beépítése • Finanszírozás
Hatóságok, felügyeleti szervek Jogszabály-alkalmazó közigazgatási szervezetek Tanúsító, együttműködő szervezetek K+F Ipar, szolgáltatás Tanácsadás Képzés Egységes infrastruktúra szemlélet kialakítása Kompatibilis szolgáltatások a különböző közigazgatási területeken Közös fejlesztési erőfeszítések Új típusú együttműködési szükséglet
Központi Elektronikus Szolgáltató Rendszer Különlegesen érzékeny (titkos) adatok. A belső és külső hozzáférést erősen korlátozni és szigorúan ellenőrizni, dokumentálni kell (pl. a rendszer biztonságát érintő adatok). Érzékeny adatok. A belső és külső hozzáférést korlátozni, a hozzáférést naplózni kell (pl. elektronikus ügyintézés adatai, állampolgárok személyes adatai stb.). Belső adatok. A külső hozzáférés nem lehetséges, belső hozzáférés korlátozása nem kritikus. Nyilvános, közhiteles adatok. A rendelkezésre állás és a megváltoztathatatlanság biztosítása kritikus. Nem osztályozott adatok. (84/2007. (IV. 25.) Korm. rendelet 1. melléklet 4. 2. ) Egységes Digitális Rádió-távközlő Rendszer (kárérték szerinti biztonsági osztályba sorolás) Alap (közepes kár) Fokozott (nagy kár) Kiemelt (katasztrofális kárérték) (109/2007. (V. 15.) Korm. rendelet, 2. sz. melléklet, 3. 3. p.) Az egységes biztonsági besorolás helyzete (a hálózatosítás alapeleme) • Szolgáltatások összekapcsolása nehezen képzelhető el eltérő rendszabályok mentén
Alkalmazások Alkalmazások Központi biztonsági szolgáltatások Hálózati szolgáltatások Hálózati szolgáltatások Rejtjelzés Hálózat A NATO C3 Technikai Architektúrával szinkronban lévő MH infrastruktúra felépítése
Portál alapú dokumentum menedzsment Csoportmunka támogatása, megosztás, verziókövetés, fórum szolgáltatás, munkafolyamatok testre szabása (workflow) Tudásmenedzsment Munkatapasztalatok, szervezeti kultúra publikálási lehetősége, kereshetőség, szakértői listák, hivatkozások mérése Elektronikus iratkezelés Adatállomány megváltoztathatatlan módon történő kezelése, tartalomhoz leíró és azonosító adatok (meta-adat) rendelése Az iratkezelés szigorú protokollok szerinti történő biztosítása Munkavégzés korszerű támogatása (mint munkáltatói fenyegetés)
Külső kapcsolati rendszer védelmi alrendszere Külső kapcsolati rendszer 1. védelmi szint Külső kapcsolati rendszer 2. védelmi szint Külső kapcsolati rendszer n. védelmi szint 1. szolgáltatási szint 2. szolgáltatási szint n. szolgáltatási szint Elektronikus adatkezelő képességek Szolgáltatások külső elérése
Központi biztonsági szolgáltatások • Eseménykezelés (CIRC) • Elektronikus hitelesítés-szolgáltatás • Központi vírusvédelem, SPAM szűrés, és mobil kódok elleni védelem • Központi, automatizált szoftver és adatbázis frissítések
MH modernizáció a rejtjelzés területén (összhangban a NATO C3 Technikai Architektúrával) • A régi, külföldi gyártmányú beszéd-rejtjelző eszközök kivonása és korszerű eszközök alkalmazásban vétele • IP alapú hálózati rejtjelző eszközök alkalmazásba vétele • a nemzeti, NATO rejtjelző eszközök központi menedzselése (EKMS) • Nemzeti rejtjelző kulcsgyártási képesség kialakítása és engedélyeztetése
Támogatandó nemzeti képességek • OECD ajánlás szerintirejtjelzésre vonatkozó irányelvek kialakítása • eljárások közötti választási lehetőség biztosítása, nyílt piaci ösztönzés a rejtjelző eljárások fejlesztésében, szabványok kialakítása, kötelezettségvállalás, a nemzeti rejtjelzésre vonatkozó politika törvényes hozzáférhetőségének biztosítása (Guidelines For Cryptography Policy) • Nemzeti kompromittáló kisugárzás elleni védelemhez (TEMPEST) szükséges mérési és tanúsítási képességek • Egységes szemléletű közigazgatási IT: • kockázatelemzési és kezelési-, • auditálási-, • képzési és • ellenőrzési rendszer kialakítása és menedzselése.
NATO prognózis szerinti fontosabb irányok • Hardver/szoftver konfiguráció felügyeleti feladatok az operációs rendszerek hardver és szoftver megoldásokkal történő támogatásával; • A vezeték nélküli szolgáltatások vezetékes hálózatokkal egyenértékű védelmi mechanizmusai; • Optikai hálózatok behatolás detektálásának fejlesztése; • A hozzáférési jogosultságok menedzselése, nyomon követhetősége (Identity Management), egyszerűsített bejelentkezés, illetve személyi azonosítási igény esetén a korlátozott mennyiségű adatokkal történő műveletek; • Szoftver definiált rádiók védelme, és a rádiófrekvenciás azonosítási megoldások; (NATO C3 Technical Architecture v.2, supplement 2: Emerging technologies v.7.)
A NATO Cooperative Cyber Defence Centre of Excellence kezdeti kutatási területei • Mesterséges intelligencia alapú technológiák alkalmazási lehetőségeinek vizsgálata és kifejlesztése az informatikai védelem területein. • Intelligens eljárások (agent) alkalmazási lehetőségei a hálózati és számítógép (host) alapú védelmi rendszerben, a behatolás detektálás (IDS), valamint a válasz reakciók területén; • Szabály alapú védelmi rendszerekben ellenőrzött és öntanuló eljárások. [Peeter Lorents] • Intelligens szimulációs lehetőségek kialakításának vizsgálata IDS/IPS területen. • Az IT infrastruktúra védelméhez szükséges adatok elemzéséhez többcélú, rugalmasan skálázható nyílt forráskódú rendszereken alapuló szimulációs eljárások, platformok kialakítási lehetőségei a modell alapú szoftverfejlesztések, a szoftver eljárások automatikus illesztésének támogatása érdekében. [Toomas Kaevand]
NATO CCD COE 2 • Hálózatok támadási módszereinek szimulációval történő vizsgálata. • Hálózatok, különböző protokollok modellezésével a támadás során keletkező adatok védelmi célú feldolgozási lehetőségeinek vizsgálata. • Hálózaton belüli eszközökön (végberendezések, központi kiszolgálók, aktív elemek) zajló folyamatok során keletkezett adatok elemzési lehetőségei, megoldások kifejlesztése virtuális számítógép alapú szimulációval. [Enn Tõugu]
NATO CCD COE 3. • Esemény összehasonlítási módszerek, adatbányászati eljárások alkalmazása a naplófájlok elemzéséhez. • A nagymennyiségű, különböző formátumokban érkező adatok analizálásának támogatása nyílt forráskódon alapuló, egyszerűsített eredménykiértékelés módszerének felhasználásával [Risto Vaarandi] • A hálózati védelem jogi szempontjainak vizsgálata. • Az államok szabályozásának, a különböző nemzetközi egyezmények elemzése a szervezeti, nemzeti és nemzetközi együttműködés megalapozása érdekében. [Eneken Tikk]
Magyar Honvédség K+F célkitűzések 2008- • Központilag menedzselt, védett hálózatok esetében a hozzáférések azonosítását és hitelesítését (külső/ belső, felhasználó/eszköz) végző védelmi mechanizmusok. • Az adat készítőjétől a végfelhasználóig a kezelés (létrehozás, módosítás, tárolás, továbbítás stb.) során széleskörűen alkalmazható fájl szintű védelmi megoldások.
K+F célkitűzések 2. • Számítógépes biztonsági események kezelése (Computer Incident Response Capability; CIRC). • NATO, EU hasonló képességeivel való együttműködés technikai és szervezési kérdései minősített és nem minősített hálózatok esetén. • Anomáliák, biztonsági események, és hálózaton keresztül történő illetéktelen behatolások/támadások elleni felkészülés (védelem, detektálás, reagálás és helyreállítás) nemzeti és nemzetközi informatikai hálózatok esetében.
Jogszabályok HM jogszabályok Politikák Direktívák Az állami irányítás egyéb jogi eszközei MH egyéb szabályozói Irányelvek Egyéb támogató dokumentumok A szabályozás korszerűsítésének szükségessége • A rendszabályokat alkalmazó szervezeteket nem célszerű többoldalú szabályozási követelményrendszerbe kényszeríteni
Összefoglalás • A NATO hálózat alapú képességek elmélete szerinti fejlesztések az MH-nál új típusú: • gondolkodást, • szervezeti együttműködést, • tervezési, szervezési és • üzemeltetési eljárásokat igényel. • A NATO, EU prognózisok, irányelvek nemzeti szinten is a hálózati gondolkodás fejlesztését igénylik, amelynek minden erőforrását fel kell használni az MH-nál, illetve a felhalmozódott tapasztalatokat meg kell osztani az illetékes hatóságokkal, kormányzati szervezetekkel
Referenciák • 85/2007. (HK 16.) Miniszteri irányelvek a védelmi tervezéshez (2009-2018) • 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről • 109/2007. (V. 15.) Korm. rendelet az egységes digitális rádió-távközlő rendszerről • NATO C3 Technical Architecture v.7. 2005 • Peeter Lorents „Overview of the CCD COE Project, Research and Development” c. előadása 2006. 12. 10. Tallin, NCCD COE • Toomas Kaevand „Intelligent simulation methods for intrusion detection and prevention” c. előadása, 2006. 12. 10. Tallin, NCCD COE • Enn Tõugu „Simulation and AI methods in cyberdefence”c. előadása, 2006. 12. 10. Tallin, NCCD COE • Risto Vaarandi „Event correlation and data mining for event log analysis”c. előadása, 2006. 12. 10. Tallin, NCCD COE • Eneken Tikk „Cooperative Cyber Defense, Legal Aspects”c. előadása, 2006. 12. 10. Tallin, NCCD COE