Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Hasonló dokumentumok
WEB SERVICE FENYEGETÉSEK E-KÖZIGAZGATÁSI KÖRNYEZETBEN. Krasznay Csaba, HP Magyarország Kft.

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

A cloud szolgáltatási modell a közigazgatásban

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

ITIL alapú folyamat optimalizációs tapasztalatok

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András

Az e közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben. Krasznay Csaba

Menetrendkezelő Rendszer

Krasznay Csaba ZMNE doktorandusz

Általános fiók beállítási útmutató

Elektronikus ügyintézés informatikai megvalósítása

API tervezése mobil környezetbe. gyakorlat

TÁJÉKOZTATÓ SZEPTEMBER 15. ELŐADÓ: DR. SZEPESI GÁBOR OPERATÍV PROJEKTVEZETŐ

Jogosultság igénylési folyamatok egységesítése a Magyar Telekom csoportnál. Magyar Telekom IAM rendszer Pálfy Zsolt Levente , 1.

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

Zimbra levelező rendszer

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

WEB2GRID: Desktop Grid a Web 2.0 szolgálatában

A polgármesteri hivatal informatikai rendszere a városirányítás szolgálatában

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Előadó: Baráth Csilla Szombathely, április 17.

Weboldalak biztonsága

30 MB INFORMATIKAI PROJEKTELLENŐR

Nyilvántartási Rendszer

Alkalmazási buktatók az elektronikus adatszolgáltatásban már működő rendszerek példáján keresztül. Deák Miklós október 25.

Kormányzati Ügyfélvonal Előadó: Fazekas Csaba főosztályvezető

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Oracle Middleware megoldások helye üzleti esettanulmányokon keresztül bemutatva, különböző iparágakban

Szolgáltatás Orientált Architektúra a MAVIR-nál

OTRS bevezetése és tapasztalatok a DF-ISZK-n

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben

AZ INTEGRÁLT NYOMONKÖVETŐ RENDSZER BEMUTATÁSA (TÁMOP B) Kern Zoltán Közoktatási szakértő

Üzleti folyamatok rugalmasabb IT támogatása. Nick Gábor András szeptember 10.

Integral IP Az IP technológia megjelenése a tűzjelzéstechnikában Tűzvédelmi Szakmai Napok Vecsés, június

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

Simon Balázs Dr. Goldschmidt Balázs Dr. Kondorosi Károly. BME, Irányítástechnika és Informatika Tanszék

Gyakorlati vizsgatevékenység B

e Beszámoló Rendszer: Egy nagy megbízhatóságú elektronikus közszolgáltatás Microsoft alapokon Atigris Informatika Zrt.

COMET webalkalmazás fejlesztés. Tóth Ádám Jasmin Media Group

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Az Elektronikus Ügyintézési Felügyelet oldalán ( találhatóak meg a tájékoztató anyagok, ütemtervek, határidők

4. Prioritás: Információs társadalom- és gazdaságfejlesztés 4.3. intézkedés: Az e-közigazgatás fejlesztése & MITS e-önkormányzat KKP

KÖZPONTI SZOCIÁLIS INFORMÁCIÓS FEJLESZTÉSEK

A TANTÁRGY ADATLAPJA

Flex: csak rugalmasan!

Az alkalmazás minőségbiztosítás folyamata Fókuszban a teszt-automatizálás

Földmérési és Távérzékelési Intézet

Binarit.KPKNY. Áttekintés. BINARIT Informatikai Kft Budapest, Váci út 95.

2011 PCI Community Meeting Újdonságok Tassi Miklós Gáspár Csaba

Valós idejű információk megjelenítése web-alapú SCADA rendszerben Modbus TCP protokollon keresztül

Servicedesk bevezetés tapasztalatai Nagy Gábor

IP megoldások a tűzjelzéstechnikában

WebService tesztelés. SOAPui Pro, GreenPepper és Confluence használatával. Verhás & Verhás Szoftver Manufaktúra KNOW-HOW

Programrendszerek tanúsítása szoftverminőség mérése

Az IdomSoft Zrt. hozzájárulása az e-ügyintézéshez Arató Dávid

OEP Betegéletút lekérdezés háziorvosok és vénytörténet lekérdezés patikák számára. API dokumentáció. verzió: 2.01

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Webes alkalmazások fejlesztése

Gyakorlati vizsgatevékenység A

zigazgatás s az informatikai biztonság

Az Egységes Segélyhívó Rendszer (112), valamint az Önkormányzati ASP projekt tapasztalatai

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Azonnali fizetési rendszer megvalósítása

Tudjuk-e védeni dokumentumainkat az e-irodában?

KIR 2.0 A KIR MEGÚJÍTÁSÁNAK ELSŐ LÉPÉSEI BARCSÁNSZKY PÉTER OKTATÁSI HIVATAL. TÁMOP-3.1.5/ PEDAGÓGUSKÉPZÉS Támogatása

Interaktív webes térképezés GRASS GIS 7-tel. A Web Processing Service bemutatása

IRÁNYTŰ A SZABÁLYTENGERBEN

Folyamatmodellezés és eszközei. Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Közigazgatási informatika tantárgyból

Grafikus keretrendszer komponensalapú webalkalmazások fejlesztéséhez

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

ENTERPRISE PORTAL. Egy modern portál esetén

Seacon Access and Role Management

A biztonság már közvetlen üzleti előnyt is jelent

Flash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft

Internetbank-EFER csatlakozás bemutatása. Bali János, Lomniczi Rudolf

IBM Rational AppScan. IBM Software Group. Preisinger Balázs Rational termékmenedzser

Feltörekvő technológiák: seam, drools, richfaces és társai a JBossban

Adatszolgáltatás a Postai Informatikai Rendszer számára. Dr. Nyuli Attila Alkalmazásfejlesztési és Üzemeltetési Osztály

A stratégiai tervezés módszertana. Koplányi Emil. elearning Igazgatóság Educatio KHT.

BIRDIE. Business Information Reporter and Datalyser. Előadó: Schneidler József

Oktatási keretrendszer. Aba 0 perces ügyintézés pilot projekt

NETinv. Új generációs informatikai és kommunikációs megoldások

Megfelelés a PSD2 szabályozásnak, RTS ajánlásokkal Electra openapi

Tájékoztató a határon túli támogatások központi nyilvántartó rendszeréről

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

E-közigazgatási rendszerek és alkalmazások sebezhetőségi vizsgálata. Vulnerability assessment of e-government systems and applications

Osztott Objektumarchitektúrák

Működő ITSM Ne ágyúval verébre

Szegfű László szegfu.laszlo [at] szeged.eu

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

ÁSZF 1. melléklet. GST-Max Kereskedelmi és Szolgáltató Kft Budapest, Völgy utca 32/b. részéről

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Tisztelettel köszöntöm a RITEK Zrt. Regionális Információtechnológiai Központ bemutatóján.

OZEKI Phone System. 4 elengedhetetlen szolgáltatás a jövőbeli vállalati telefonos rendszerek számára. A jövő üzleti telefon rendszere SMS

Cloud Security. Homo mensura november Sallai Gyorgy

Átírás:

Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.

Bevezetése etés A Magyar Köztársaság elektronikus közigazgatási rendszere az elmúlt években folyamatosan fejlődött 2009-2010-ben jelentős EU források állnak rendelkezésre a további fejlődéshez Pontosan lehet követni a fejlesztési tendenciákat 2009. tavaszán megjelent az az ajánláskötet, ami definiálja a fejlesztési követelményeket

Az e-közigazgatási gatási rendszer er felépítése Forrás: KIB 21. ajánlás

Az e-közigazgatási gatási rendszer er felépítése Forrás: KIB 28. ajánlás

Fejlesztési irányok A cél tehát az e-közigazgatási g sín kialakítása Az eszköz pedig a szolgáltatás-orientált architektúra, és az azon elérhető web service-ek A web service interfészeket a csatlakozó alkalmazások fejlesztői definiálják Központi szolgáltatások: Szolgáltatáskatalógus Tokenszolgáltató Hitelesítésszolgáltató E-tár Ügyfélkapu Naplózási szolgáltatás

Biztonsági feladatok Az ajánlás szerint foglalkozni kell: Az állampolgárok személyiségi és adatvédelmi jogaival (megfelelő authentikáció és authorizáció), A szolgáltatások biztonságával (titkosítás, erős authentikáció), Az e-közigazgatási közmű biztonságával (jogosultságmenedzsment, naplózás) Egy csatlakozó szervezetnek tehát minimálisan i meg kell oldania: Az erős authentikáció megvalósítását A tokenszolgáltatóhoz történő integrációt A PKI alapú működést (pl. SSL/TLS) Ab belépést é a központi tijogosultságmenedzsment trendszerbe A naplóadatok automatikus vagy manuális kiadását

IT biztonsági a pályázat á szemszögéből 1. Pályázati felhívás (projekt megfogalmazásakor) összeállításakor be kell építeni azokat a megvalósítandó feladatokat, amelyek garantálják a biztonsági követelmények kielégítését. Pályáztató feladata 2. A pályázat kötelező elemévé kell tenni a biztonság megvalósításához szükséges erőforrások tervezését a pénzügyi keret tervezésékor. Pályáztató feladata 3. A projekt monitoring követelményeiben szerepeltetni kell a biztonsági indikátorokat és azok rendszeres jelentését kötelezővé kell tenni. Pályáztató feladata 4. A pályázatok elbírálásakor az IT biztonsági követelményekre vonatkozó elvárásokat meg kell jelentetni és megfelelő súllyal kell az elbíráláskor, a támogatás odaítélésekor figyelembe venni. Elbíráló feladata 5. A finanszírozási, támogatási szerződésben meg kell jelentetni a biztonságra vonatkozó követelményeket és a be nem tartáskor alkalmazandó szankciókat. Támogató feladata 6. A pályázati anyag összeállításakor figyelembe kell venni a kiírásban megjelent követelményrendszert. Pályázó, projektgazda feladata

IT biztonsági a pályázat á szemszögéből 7. A megvalósítás tervezésekor be kell tervezni a biztonságra vonatkozó követelmények k megvalósítását át is. Pályázó, á projektgazda feladata 8. Implementációs munkák során meg kell valósítani a biztonságra irányuló követelményeket, funkciókat. Pályázó, projektgazda, implementációt végző feladata 9. Az eredmények átvételekor, rendszer élesítéskor csak a biztonsági követelményeket igazoltan kielégítő rendszert szabad élesbe állítani. Pályázó, projektgazda, átvevő feladata 10. A támogatási összeg folyósítása előtt meg kell győződni a biztonságra vonatkozó követelmények érvényesüléséről. Felügyelő, támogató, projektgazda feladata 11. A megvalósított biztonsági szint fenntartása érdekében biztonsági rendszert kell üzemeltetni. Pályázó, projektgazda feladata

IT biztonság a fejlesztés szemszögéből Forrás: KIB 28. ajánlás

Vagy ahogy az USA-ban elképzelik... elik Forrás: NIST SP 800-64

Vagy ahogy az USA-ban elképzelik... elik Forrás: NIST SP 800-64

Vagy ahogy az USA-ban elképzelik... elik Forrás: NIST SP 800-64

Web service fenyegetésekegetések Az ajánlások nagyon keveset foglalkoznak a SOA környezetből adódó fenyegetésekkel Annak ellenére, hogy szoftver oldalról ez tűnik a leggyengébb láncszemnek Afő veszélyforrás az, hogy komplex, egymástól függetlenül fejlesztett rendszerek integrálódnak webes technikákkal, sokszor a nyílt interneten keresztül elérhető interfészekkel, melyek sokszor érzékenyek a sokak által ismert támadásokra

Web service fenyegetésekegetések Kliens oldali fenyegetések: Ajax komponensek (pl.xss, cross-site Request Forgery, Cross- Domain támadások) Sérülékeny böngészők Struktúra szintű fenyegetések: XML Node manipulálás (SQL injection, távoli kódvégrehajtás, XSS, parserek támadása) Protokoll szintű fenyegetések: A protokoll fejlécének és tartalmának manipulálása Szerver oldali fenyegetések Az alkalmazás szervert érintő támadások (pl. Buffer overflow) Az alkalmazás szervert érintő támadások (pl. Buffer overflow) Alkalmazás hibák (pl. hitelesítési, jogosultsági, beszúrásos, rendelkezésre állási, sessionkezelési, és adatszivárgási hibák)

E-közigazgatási gatási aktorok Humán ügyfél: egy nevesített személy küld e-mailben vagy weboldalon l keresztül üzenetet, t és ezeken a felületeken tud üzenetet is fogadni. Humán ügyintéző: olyan köztisztviselő, aki e-mailben vagy weboldalon keresztül tud üzenetet küldeni és fogadni. Ügyfélkapu: a Hivatali Kapun keresztül tud üzeneteket küldeni és fogadni. Kliens alkalmazás: olyan, közigazgatásilag nem kontrollált alkalmazás, mely humán szubjektumhoz nem feltétlenül köthető módon küld és fogad üzeneteket, pl. web service interfészen keresztül. Közigazgatási alkalmazás: olyan, közigazgatásilag kontrollált alkalmazás, mely humán szubjektumhoz nem feltétlenül köthető módon küld és fogad üzeneteket, pl. web service interfészen keresztül.

Kommunikációs irányok

Javasolt asolt védelmi intézkedések Humán ügyféltől származó üzenet: Input validálás programozott módon vagy eszköz felhasználásával Erős authentikáció Humán ügyintézőtől származó üzenet: Erős authentikáció Josultsági rendszer Felelősségek szétválasztása Naplózás Ügyfélkaputól származó üzenet: Formátumellenőrzés

Javasolt asolt védelmi intézkedések Kliens alkalmazástól származó üzenet WS-Security használata Formátummegkötés Adminisztratív szabályok KIB 25. szerinti tanúsítás Közigazgatási g alkalmazástól származó üzenet KIB 28. megfelelőség Örökölt rendszereknél speciális web service Örökölt rendszereknél speciális web service használata

Összefoglalás A SOA környezet biztonsági szempontból különös figyelmet érdemel Megjósolható, hogy a körültekintő tervezés, implementálás és üzemeltetés mellett is lesznek biztonsági incidensek, ami a SOA-ra vezethető vissza Ezért ne csak a preventív, hanem a detektív és korrektív védelmi intézkedések is kapjanak fontos szerepet!

Köszönöm. E-mail: csaba.krasznay@hp.com com

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés