Tartalomjegyzék FuturIT Küldetésnyilatkozat 6 Vezetõi összefoglaló 7 Szervezeti felépítés 9 Konzorciumi tagok bemutatása 10 A fejlesztésbe bevont üzleti partnerek 12 Kutatási programjaink bemutatása 14 Dinamikus információbiztonsági rendszer fejlesztése 15 Adattárolás és adatmentés technológia és módszertan fejlesztés 17 Biztonsági megoldások optimalizálása 19 Nemzeti és iparági információbiztonsági rendszerek kidolgozása 21 Biztonsági tervezés és minõsítés 23 Algoritmusok kidolgozása üzleti folyamatok biztonság fókuszú tervezéséhez és kialakításához 24 Tudásmenedzsment 27 Eredményeink 28 Eredményeink összefoglalása 29 Beszámolási idõszak feladatai 30 I. Projekt elõkészítés 32 Infrastruktúra elõkészítése 33 Kutatás-fejlesztéshez szükséges eszközök beszerzése 33 Szervezet kialakítása 34 Pénzügyi rendszer kialakítása 35 III. Informatikai biztonsági minõsítés és eszközfejlesztés 40 Informatikai megoldások biztonsági minõsítése 41 Informatikai biztonsági eszközök fejlesztése 42 IV. Informatikai biztonsági képzési rendszer kiépítése 44 Doktori képzés 45 Informatikai biztonságtechnikai képzés beindítása 46 Az informatikai biztonság hazai szakmai színvonalának emelése és társadalmi tudatosítása, kommunikációja 47 Indikátorok 48 PhD, posztdoktori, egyetemi kutatói állások 49 Hallgatói együttmûködési program és tehetséggondozás 50 24 órás programozási verseny 2008 52 Felnõttképzés 53 Technológia transzfer 54 Konferenciák 55 Üzleti és hasznosítási terv 56 Spin-off tevékenységek 57 Szakmai rendezvények 58 Publikációk 59 Megjelenések, médiaszereplések 60 Erõforrások idõráfordítása 61 Finanszírozás, összesített pénzügyi mutatók 64 Monitoring adatszolgáltatás 65 II. Az informatikai biztonsági megoldások egységes módszertani hátterének megteremtése 36 Biztonsági tervezés módszertan 37 Nemzeti informatikai biztonsági szabályozási rendszer kidolgozása 38 Informatikai fenyegettségek és kockázatok felmérése, elemzése és kezelése 39 2
Tartalomjegyzék ÖKORET 71 Indikátorok 102 Küldetésnyilatkozat 72 Indikátorok 103 Vezetõi összefoglaló 73 Spin-off cég 104 Felépítés és menedzsment 74 Technológiatranszfer 105 Konzorcium bemutatása 75 Konferenciák 107 Ipari partnerek 76 Publikációk 110 Megjelenések, médiaszereplések 113 Szakmai rendezvények 113 Erõforrások idõráfordítása 114 Finanszírozás 116 Tevékenységünk és a beszámolási idõszakban elkészült feladatok és az elért eredmények bemutatása Kutatási programjaink bemutatása 78 84 V. Komponens: Környezeti Információs (Monitoring) Rendszer létrehozása 85 VI. Környezeti szakértõi rendszer kialakítása 93 VII. Környezettudatos tervezési eljárások meghonosítása. Eco-Design alapú tervezés, automatizált mérés és minõség-ellenõrzés módszerei 97 VIII. Az ÖKORET kutatás-fejlesztési tevékenységet, ipari együttmûködést elõsegítõ szolgáltatásai 99 3
4
Küldetésnyilatkozat A futurit, mint Informatikai Biztonsági Kutató-Fejlesztõ Központ célja, hogy szakterületi és regionális vonzáscentrumként funkcionáljon, vállalkozásokkal és más, kutatással, innovációval foglalkozó szervezetekkel együttmûködve, nemzetközi színvonalú, fókuszált kutatásfejlesztési és innovációs tevékenységeket végezzen, és ezáltal a Közép-Dunántúli Régió, Magyarország, és Közép-Európa vezetõ informatikai biztonsági kutató- és képzési központjává váljon. Fejlesztéseinek végtermékei világszínvonalú informatikai biztonsági eljárások, módszertanok és eszközök. A Pannon Egyetem Mûszaki Informatikai Kara, valamint a KÜRT Zrt. és az ALBACOMP Zrt. által közösen létrehozott futurit Regionális Tudásközponttá válásával a közép-európai régióban egyedülálló módon elismert, színvonalában a világ élvonalába tartozó felsõfokú képzést nyújt magyarországi és külföldi informatikai biztonsági szakemberek számára, ugyanakkor a legújabb technikai és társadalmi változásokat szorosan követve folytat informatikai biztonsági kutatásokat, fejlesztéseket. A futurit szoros kapcsolatban áll a fejlesztésekben, illetve a kutatási eredmények hasznosításában együttmûködõ régióbeli vállalkozásokkal, valamint a kutatási és felsõfokú képzési programban nemzetközi partnerként résztvevõ oktatási intézményekkel. A futurit tevékenysége az alapkutatástól egészen a spinoff cégekben realizálódó termékértékesítésig terjed. Mindezek mellett az informatikai biztonság nemzetközi tudásbázisa és konferenciaközpontja. A futurit hozzájárul a régión belüli innováció, kutatás-fejlesztési kapacitás növeléséhez, a szakképzésen keresztül helyi tudásintenzív kis- és középvállalatok számára teremt munkaerõt, illetve a konzorciumi tagok és a bevont üzleti partnerek saját K+F tevékenységei révén a képzett munkaerõ számára megfelelõ munkalehetõségeket. A futurit oktatási és képzési programjai lehetõvé teszik a Pannon Egyetem Mûszaki Informatika szakos hallgatóinak a mûszaki informatika tartósan fontos területén élvonalbeli ismeretek megszerzését, valamint kutatási témát biztosít PhD hallgatók számára. Az alap- és alkalmazott kutatások eredményeit nemzetközi tudományos szakmai publikációk és konferenciák mellett a termékein és a külföldi hallgatók képzésén keresztül realizálja. A futurit csapata 6
Vezetõi összefoglaló Értékvédõ módszereket, eszközöket kutatunk, fejlesztünk, oktatunk infokommunikációs értékeink megóvása érdekében. A Pannon Egyetem informatikai biztonság témakörben két területen nyert támogatást a Nemzeti Kutatási és Technológiai Hivataltól 2006-ban. A futurit Informatikai Biztonsági Tudásközpont vezetõje Kürti Tamás, az ÖkoRET Környezetbiztonsági Informatika Tudásközpont alapítója Prof. Dr. Rédey Ákos, vezetõje Dr. Réti Tamás. A Tudásközpont igazgatója Prof. Dr. Friedler Ferenc a Pannon Egyetem Mûszaki Informatikai Karának alapítója és dékánja. Jelen beszámoló a futurit 2. munkaszakaszában 2007. október 1. és 2008. december 31. között elvégzett tevékenységeket, valamint azok eredményeit mutatja be. A konzorcium tagjai az Albacomp Zrt., a KÜRT Zrt. és a Pannon Egyetem. A konzorcium tagjai közös értékek, célok mentén hozták létre együttmûködésüket. Céljuk, hogy meghatározóak legyenek saját területükön, legyen szó tudományról, üzletrõl vagy innovációról. Mindhárom partner felelõsségteljes, tudatos és szakmailag kiemelkedõ munkatársakat alkalmaz a projekt feladataiban, akik proaktívan képesek a csapatmunkára. A konzorcium az operatív munkát a Kutatási Munkabizottság irányításával végzi. Feladata a munkafolyamatok, idõközi eredmények egyeztetése, a szakmai tájékoztatás, illetve a szakszerû és tudományos munka elõsegítése. A tudásközpont operatív céljainak és stratégiájának teljesülését a konzorciumi tagok képviselõibõl álló Projekt Bizottság felügyeli, amely jogosult a munkák eredményeinek értékelésére és hasznosításáról szóló döntések meghozatalára is. A hosszú távú fenntarthatóság szempontjából alapvetõ fontosságúnak tekintjük, hogy a tudásközpont és a hasznosító szervezetei, a támogatási idõszak 2009-es befejezõdése után, képesek legyenek a fenntarthatóság biztosítására, valamint új finanszírozási források bevonására. Ezért a második munkaszakasz során létrehoztuk a Projekt Bizottság felügyelete alá tartozó Hasznosítási Munkacsoportot, amelynek elsõdleges feladata a fejlesztések termékesítésének támogatása, illetve a portfoliószemléletû hasznosítási tervek részletes, piacelemzésen alapuló kidolgozása. A tudásközpontban a szakmai munka a kutatási témák szerinti témalaboratóriumokban történik. A Kutatási Munkabizottság felügyelete alatt a tudásközpont második munkaszakaszában az alábbi laboratóriumokon keresztül valósultak meg a kutatás-fejlesztési feladatok: 1.) Dinamikus információbiztonsági rendszer fejlesztése A dinamikus információbiztonsági rendszer egy olyan speciális biztonsági szoftvercsomag, amely a más iparági területeken már jó ideje nagy hatásfokkal mûködõ integrált rendszerek technológiájához és módszertanaihoz hasonló elvek alapján szolgálja az információbiztonságot. Szoftverrendszerünk építõkocka szerûen, egyedi alrendszerekbõl áll össze, de egységes koncepciójú és keretrendszerû, így képes információkat nyújtani egy adott szervezet aktuális információbiztonsági állapotáról. 2.) Adattárolás és -mentés technológia és módszertan fejlesztés A KÜRT jelenlegi adatmentése az éppen használatban lévõ adattároló eszközök professzionális mentésére felkészült. Mivel a jelenlegi adattárolási technológiáknak is vannak olyan területei, amelyek mentésére a rendelkezésre álló technológia még nem alkalmas, ezért nélkülözhetetlen a folyamatos fejlesztés, a továbblépés lehetõségének kutatása és megteremtése. A tudásközpont keretében ezen speciális területekkel, illetve a meglévõ területek szoftveres támogatásának átalakításával, újradefiniálásával foglalkozunk, természetesen a legújabb technológiai elvárásokat is figyelembe véve. 7
3.) Biztonsági megoldások optimalizálása A biztonsági minõsítés egy rendszer adott állapotának kockázatmenedzsmentjét jelenti, miközben figyelembe vesszük, hogy egy rendszerben rendelkezésre álló erõforrások felhasználásával mi az elérhetõ legjobb (optimális és kockázatarányos) állapot. A minõsítésre használt kvalitatív vagy kvantitatív matematikai modelljeink nemcsak az egyedi erõforrások minõségét veszik figyelembe, hanem az erõforrások együttmûködését, egymásra hatását is, a teljes rendszer céljának elérése szempontjából. Fejlesztési tevékenységünk során a szintézis/tervezés eljárás segítségével a rendelkezésre álló erõforrások egy halmazából meghatározzuk, hogy melyeket érdemes felhasználni annak érdekében, hogy az elemekbõl összeállított és optimálisan mûködtetett rendszer biztonsági szempontból is a legjobb legyen. 4.) Nemzeti és iparági információbiztonsági rendszerek kidolgozása Kutatás-fejlesztési programunk célja, hogy a tudományterület és az iparág legújabb elméleti eredményeinek és gyakorlati tapasztalatainak felhasználásával a különbözõ specifikus szakterületekre, iparágakra vonatkozó, testre szabott információbiztonsági eljárásokat, módszertanokat és eszközöket dolgozzunk ki, illetve gyakorlati hasznosításuk megvalósítását támogassuk. 5.) Biztonsági tervezés és minõsítés Az informatikai megoldások biztonsági tervezése és minõsítése kapcsán olyan módszertan kialakítására törekszünk, amely lehetõséget teremt a legkülönbözõbb infokommunikációs eszközök széles kör által elfogadott, nemzetközi szabványok követelményeire épülõ, egységes és megismételhetõ körülmények között elvégezhetõ biztonsági és megbízhatósági vizsgálatára (sérülékenységek, fenyegetettségek és kockázatok átfogó vizsgálata). 6.) Algoritmusok kidolgozása üzleti folyamatok biztonság fókuszú tervezéséhez és kialakításához Az üzleti folyamatok biztonság fókuszú tervezéséhez és kialakításához olyan megoldásokat fejlesztünk ki, amelyek alkalmas alapot adnak az üzleti folyamatok leírására és modellezésére, valamint az optimális üzleti folyamatok algoritmikus megadására. Algoritmusunk alapját egy gráf-reprezentáció adja, mely a folyamathálózat szintézisre épülõ technikát használ fel, így a költség- és megbízhatósági szint szerinti optimális modellek további szempontok szerint részletesebben is elemezhetõk. 7.) Tudásmenedzsment A Tudásmenedzsment program a futurit horizontális tevékenysége, amely a laboratóriumok keretében megvalósított kutatási programok szakmai eredményeinek összefogását és a létrehozott best practice" ismeretek publikálását végzi. A Tudásmenedzsment program erõsíti a futurit szakmai megalapozottságát és elismertségét az akadémiai és üzleti életben, támogatja az informatikai biztonság jelentõségének társadalmi tudatosítását, valamint hozzájárul a projekt alapvetõ céljainak eléréséhez. Összességében elmondható, hogy a futurit tudásközpont keretein belül folyó fejlesztések eredményeinek jelentõs hányada amellett, hogy tudományos értelemben is nemzetközi jelentõségû, üzletileg is kiválóan hasznosítható. Legfõbb erõsségünk, hogy az egyetemi/kutatói és az üzleti szféra szoros együttmûködésében valósítjuk meg az egész régióra ható ipari-akadémiai kutatás-fejlesztési és innovációs-inkubációs tevékenységet. Veszprém, 2009. február 20. Prof. Dr. Friedler Ferenc Kürti Tamás igazgató vezetõ Pannon Regionális futurit Informatikai Tudásközpont Biztonsági Tudásközpont 8
Szervezeti felépítés 9
Konzorciumi tagok bemutatása Pannon Egyetem, Mûszaki Informatikai Kar A Pannon Egyetem Mûszaki Informatikai Kara alapításakor informatikai és a hozzá kapcsolódó korszerû technológiák oktatására, kutatására és fejlesztésére jött létre. A Kar fejlõdését a kezdetektõl a dinamizmus jellemezte és jellemzi napjainkban is, melynek köszönhetõen hazai és nemzetközi szinten egyaránt ismert és elismert tevékenységet folytat. Tíz év fejlesztései eredményeként 2001. január 1-tõl kari jogállású önálló intézetként, 2003. január 1-tõl hivatalosan Mûszaki Informatikai Karként mûködik. A Kar tevékenységében mind a mûszaki, mind az informatikai szó hangsúlyos. Mûködése olyan élenjáró technológiákhoz kapcsolódik, melyek gyorsan és folyamatosan változnak, fejlõdnek. Az ilyen technológiák biztosítják a magas hozzáadott értékû termékeket, melyek a globalizált világban jól értékesíthetõk. Ez alapozza meg a Mûszaki Informatikai Kar tartós és kiegyensúlyozott mûködését mindhárom tevékenységében: az oktatásban, a kutatásban és a fejlesztési projektekben. Színvonalas oktatás a gyorsan fejlõdõ mûszaki informatika területén csak nemzetközi szintû kutatások alapján lehetséges, a gyors fejlõdés miatt ugyanis kizárólag a szûk szakmai körökben tevékenykedõ kutatók férnek hozzá a legújabb eredményekhez. A nemzetközi színvonalú kutatás egyúttal megalapozza a nemzetközi projekteket, melyek szükségesek az élenjáró technológiák oktatásához, a hallgatók számára aktuális témák biztosításához. Az ipari együttmûködések ugyanakkor lehetõséget és forrást is teremtenek a legmodernebb technológiák beszerzéséhez, alkalmazásához. A Kar három alaptevékenysége így képes szoros együttmûködésben, egymást támogatva mûködni. A Kar eredményeinek fenntartásához a kiemelkedõ oktatók, kutatók és fejlesztõk mellett kiváló diákokra is szükség van. Ennek érdekében mûködteti a Mûszaki Informatikai Kar az országos lefedettségû, veszprémi és szolnoki központokkal mûködõ Erdõs Pál Matematikai Tehetséggondozó Iskolát. A legkiválóbb hallgatók bekapcsolódhatnak az úgynevezett Fasori Program keretében megvalósuló elitképzésbe is,. Elsõ tanulmányi évüktõl kezdve részt vehetnek a Kar kutatási, fejlesztési tevékenységében, tudományos folyóiratokban publikálhatnak, nemzetközi konferencián adhatnak elõ, illetve bekapcsolódhatnak multinacionális cégek számára végzett K+F projektjekbe. KÜRT Zrt. A KÜRT 1989-ben alakult, magyar tulajdonban lévõ, de a nemzetközi piacokon is tevékenykedõ vállalatcsoport. A cég üzleti tevékenysége során adatmentésre, információvédelemre és informatikai biztonsági megoldások fejlesztésre és értékesítésére koncentrál. A múlt tapasztalatai, valamint az innovatív szemléletû, kimagasló tudású szakembergárda munkája eredményeként a KÜRT komoly elismertségre tett szert, mint az információbiztonság területének vezetõ szakértõje, az adatvédelem és adatbiztonság teljes palettáját átfogó, a nemzetközi és hazai szabványoknak megfelelõ módszertana és auditorai révén. A KÜRT Európa vezetõ adatmentõ cége világviszonylatban is elismert adatmentési technológiával. A cégnek a különbözõ infokommunikációs káresemények megelõzésére, illetve kezelésére kidolgozott információmenedzsment rendszere ma már több mint 40 önállóan is alkalmazható terméket, szolgáltatást foglal magában. 10
A KÜRT elmúlt 20 éves fejlõdésének meghatározó eleme volt, hogy aktívan részt vett a hazai és nemzetközi K+F tevékenységekben, hazai és az Európai Unió által kínált pályázati rendszerekben. A cég profitjának jelentõs része visszaforgatásra kerül az üzletfejlesztési tevékenységekbe. A cégben önálló K+F szakembergárda mûködik, amelynek tagjait erõs operatív kapcsolatrendszer fûzi az informatikai tudományág majd minden hazai szereplõjéhez, alkalmazott és alapkutatást végzõ intézményéhez. Albacomp Zrt. Az Albacomp Zrt. a magyarországi informatikai piac egyik legnagyobb múltra visszatekintõ vállalata. Az Albacomp a hardvergyártó szerepének megtartása mellett a hazai piac meghatározó szereplõje és rendszerintegrátora, nagy tapasztalatokkal rendelkezõ tanácsadói üzletággal, országos szervizhálózattal, és az informatika számos más területén olyan kompetenciákkal, amelyek révén képes a modern kor követelményeinek megfelelõ, összetett informatikai és telekommunikációs rendszerek tervezésére, fejlesztésére, szállítására, üzembe helyezésére és üzemeltetésére. Az Albacomp nevét több nagy, hálózati és rendszerintegrációs projekt is fémjelzi. A társaság aktív résztvevõje több, kormányzati támogatással megvalósult informatikai programnak. A cég hatékony mûködésének hátterében kiváló szakembergárdája áll, amely a szoftverfejlesztés, a tervezés, a gyártás, az implementálás, a tanácsadás és az értékesítés területén egyaránt magas szintû munkájával biztosítja a legtöbbször több területre kiterjedõ projektek sikerességét. A cég stratégiai üzletágként kezeli az oktatást, melyhez kapcsolódóan az önálló oktatási üzletág 2005-ben jött létre, a SZÜV Zrt. integrálásával, folytatva az ott folyó elismerten színvonalas képzési hagyományokat. A cég jól felszerelt oktatóközpontjai megtalálhatók az ország minden régiójában. Az Albacomp egyik legfõbb célja, hogy mint Magyarország egyik informatikai tudásbázisa, helyt adjon a kreativitásnak, lehetõséget és szakmai támogatást biztosítson tehetséges szakembereknek új termékek kifejlesztésére. 11
A fejlesztésbe bevont üzleti partnerek A biztonsági piac különbözõ területei célirányos egyedi szakértelmet és alapos felkészültséget igényelnek, ezért a tudásközpont 2. munkaszakaszában a létrejött információbiztonsági fejlesztési elképzelések gyakorlati megvalósításához, a kifejlesztett eszközök véglegesítéséhez, valamint az üzleti hasznosíthatóság megteremtéséhez szükségessé vált olyan széles körben elismert piaci szereplõk bevonása, akik az adott szakterület mélyreható ismeretével és meghatározó piaci potenciállal rendelkeznek. Közremûködésükkel már a termékfejlesztési folyamat kezdõ lépéseitõl figyelembe vehetõk és a fejlesztendõ megoldásokba beépíthetõk a szakmai tapasztalataik és a gyakorlati alkalmazhatóságra vonatkozó észrevételeik. A tudásközpont második munkaszakaszában három speciális szakterületeken mûködõ üzleti partnerrel folytattunk közös kutatás-fejlesztési tevékenységet. Alacera International A futurit 2007 júniusában a Pannon Egyetem Mûszaki Informatikai Karán, TSEC (Technology Security Experience Center) Institute Hungary néven, közös biztonsági fejlesztõ központot hozott létre az amerikai biztonságtechnikai piacon meghatározó szerepet játszó Alacera International-lel. Az Alacera International szolgáltatásai és termékei fókusza a komplex, koherens lakóhely- és település védelem, melynek összetevõi a biztonságstratégia, a településbiztonsági stratégia, az informatikai technológiák integrálása és a tudástranszfer. Célunk, hogy az együttmûködés eredményeként a tudásközpont a koherens biztonságvédelem területének rangos nemzetközi fejlesztõjévé váljon, és a mindenkori biztonsági kihívásokra reagáló megoldásokat nyújtson az infokommunikációs védelmen túl az adminisztratív, a fizikai, a személyi és a vagyoni biztonság védelmének területén is. Complex Kiadó Kft. A Wolters Kluwer hollandiai székhelyû nemzetközi kiadóvállalat tulajdonában álló CompLex Kiadó Kft. Magyarország legnagyobb jogi kiadóvállalata. A cég elsõsorban a joggal és adózással foglalkozó szakemberek minél jobb kiszolgálását, idõ-, és pénztakarékos megoldások szállítását tûzte ki céljául. Ez egyre inkább nem puszta tartalom közvetítését jelenti, hanem a szakemberek munkafolyamatait hatékonyan támogató integrált megoldások fejlesztését és nyújtását is. A Complex-szel együttmûködve, 2008 szeptemberében elindított, a www.itjog.hu címen elérhetõ, Iparági információbiztonsági portál segítségével a legkülönbözõbb iparágakban, szakterületeken mûködõ cégek, szervezetek folyamatosan nyomon tudják követni az informatikai és információs rendszereikre vonatkozó hatályos jogszabályi elõírásokat, követelményeket. Ezáltal áttekintõ képet kaphatnak infokommunikációs rendszereik biztonsági fejlettségérõl, fenyegetettségeirõl és kockázatairól, valamint az információbiztonsági szintjük növeléséhez javasolt megvalósítandó intézkedésekrõl. Anima & KÜRT Kutatás-fejlesztés Kht. Az Anima & KÜRT Kutatás-fejlesztés Kht. Magyarországon egyedülálló, speciális kutatás-fejlesztési szolgáltatásokat nyújt a humán kockázati tényezõk csökkentése és a szervezeti biztonság területén. A cég alapfeltevése, hogy a szellemi és humán tõke védelmére a mikro- kisvállalkozások nem tudnak kellõ idõt és energiát fordítani. Így versenyhátrányuk van még abban az esetben is, ha innovációs termékük a piacon megállja a helyét. Ezért a cég kutatásainak fókuszában a mûködési és humán kockázatok felismerése és kezelése áll, kiemelten fókuszálva a humán tényezõk szerepére (kompetenciák, személyiség) a vállalatok mûködésében és fejlõdésében. Az Anima & KÜRT bekapcsolódásával a tudásközpont munkájába az infokommunikációs rendszerek fenyegetettségeinek és kockázatainak felmérése, elemzése és kezelése kapcsán már a humán tényezõk által képviselt fenyegetettségeket és kockázatokat is be tudtuk építeni a kidolgozott kockázatelemzési módszertanunkba. Ezáltal idõben megelõzhetõk a visszaélések, felderíthetõk a titoksértések, a nem kívánatos információk kiszivárgásának forrásai; eredményesen, gyorsan és költség-hatékony módon feltárhatók, javíthatók, alakíthatók és megszûntethetõk a veszteségforrások. 12
Dinamikus információbiztonsági rendszer fejlesztése A dinamikus információbiztonsági rendszer fejlesztése során célunk a nemzeti és iparági információbiztonsági rendszerek kidolgozásához kapcsolódóan egy speciális biztonsági szoftvercsomag megtervezése és létrehozása. A csomag modulszerûen, egyedi alrendszerekbõl építkezik, de egységes koncepciójú és keretrendszerû, így képes információkat nyújtani egy adott szervezet információbiztonsági állapotáról; megmutatja, hogy jelenleg az információbiztonság mely szintjén áll; továbbá segít megfogalmazni, hova szeretne a szervezet eljutni, és megadja a továbblépéshez szükséges tevékenységek sorozatát és azok ütemezését. A tudásközpont elsõ évében a Pannon Egyetem mûszaki informatika szakos hallgatóinak bevonásával elvégzett részletes piackutatás és technológiai elemzés során kialakult koncepció átfogó képet mutatott arról, milyen információbiztonsági szoftverfejlesztésre van igény Magyarországon, illetve a nemzetközi piacon. A piackutatás megerõsítette az elõzetes várakozásainkat, eredményül azt a következtetést lehetett levonni, hogy léteznek hasonló dobozos megoldások a világban, azonban ezek megmaradnak szigetszerû alkalmazásnak, és nem alkalmasak arra, hogy egy integrált információbiztonsági rendszer részeként más információbiztonsági alkalmazásokkal mûködjenek együtt. Ezen ismereteket felhasználva a technológia elemzés eredményeként készítettük el minden modulhoz a megfelelõ funkcionális specifikációt és a logikai tervet. Elõzetes felméréseink alapján a megoldáscsomag üzleti hasznosítása elsõsorban az alábbi területeken számíthat sikerre: Informatikai, illetve biztonsági projektek megvalósítása szoftveres támogatással. Az információbiztonság számszerûsítése, automatizálása és work-flow támogatása. Információbiztonsági intézkedések standardizálása, optimalizálása. A tudományos eredmények oldaláról a fejlesztésünk lehetõséget teremt: Az információbiztonsági módszertanok matematikai hátterének megalapozására. Optimalizáló eljárások kidolgozására és gyakorlati alkalmazására. A tudásközpont biztonsági tervezési és minõsítési módszertanának gyakorlati körülmények között történõ teszte lésére. 15
A tervezett megoldások kapcsán a 2008-ban ténylegesen elindított szoftverfejlesztési és termékesítési folyamatok fókusza a fenti részletes felmérések eredményeinek ismeretében került meghatározásra. A tudásközpont második munkaszakaszának eredményeként létrejöttek a különbözõ kvalitatív ill. kvantitatív minõsítõ eljárások az informatikai rendszerek és üzleti folyamatok megbízhatóságának értékelésére. A modell felírásához üzleti folyamat modellezést használtunk, a felírt matematikai modell a Pannon Egyetem Mûszaki Informatikai karán kidolgozott P-gráf módszertanban gyökerezik, miközben az alapul vett számítási módszer megfelel a KÜRT által kidolgozott információbiztonsági minõsítési eljárásoknak. A közösen kidolgozott eszközrendszer az erõforrások összefüggéseit (egymásrautaltságát, kiválthatóságát) markánsabban és expliciten jeleníti meg. Kidolgozott minõsítési eljárásaink kimenete bizonyos (infrastrukturális, informatikai, üzleti) szolgáltatások megbízhatósági értéke. Mód szertanunk elõnye, hogy a minõsítés a különbözõ infokommunikációs rendszerekben folyamatosan, on-line módon is végezhetõ: vagyis miden pillanatban monitorozhatjuk vele bizonyos infokommunikációs szolgáltatások minõségét. A második munkaszakaszban megvalósítottuk a világ egyik vezetõ folyamatábrázoló szoftverének (QPR) beszerzését, amely hatékony segítséget nyújt abban, hogy a feltárt elemek összefüggésrendszerét ábrázoljuk, és a szükséges paramétereket (költség, idõ stb.) rögzítsük. Az optimalizáló algoritmusok segítségével a QPR-rel (vagy más folyamatábrázoló szoftverrel) kialakított gráfon könnyedén megkereshetõk, megmutathatók és elemezhetõk azok a megvalósítható, releváns alternatívákat, amelyek közül érdemes választani. 16
Adattárolás és adatmentés technológia és módszertan fejlesztés A KÜRT jelenlegi adatmentése az éppen használatban lévõ adattároló eszközök professzionális mentésére felkészült. Ezért a hosszú távú fenntarthatóság szempontjából nélkülözhetetlen számára a fejlesztés, a továbblépés lehetõségének megteremtése. Az adattárolás és adatmentés technológia kutatás és módszertan fejlesztés során az új adattárolási eszközökkel, illetve a meglévõ területek szoftveres támogatásával foglalkozunk. Az adatmentéshez kapcsolódóan a tudásközpont keretében megvalósuló kutatás-fejlesztési tevékenységünk célja, hogy a szakterület vezetõ hazai kutatóinak irányításával és hallgatói részvétellel olyan bonyolult matematikai és technológiai problémákat oldjunk meg, mint a JPEG kód hibakeresése, vagy saját fejlesztésû, egyedi adatmentõ szoftvereink átalakítása, újradefiniálása a legújabb technológiai elvárásoknak megfelelõen. A KÜRT-ben az adatmentéshez használt különbözõ szoftverekbõl nagyon sok változat van egyszerre, folyamatosan használatban. Ez redundanciához vezet, illetve egyes problémák esetén egyedi fejlesztéseket tesz szükségessé. Ezt kiküszöbölendõ kutatás-fejlesztési tevékenységünk egyik legfontosabb feladatának tekintjük, hogy a tudásközpont elsõ munkaszakaszában a KÜRT adatmentõ munkatársaival közösen megtervezett moduláris felépítésû adatmentõ szoftvercsomagot segítsünk megvalósítani. Ebben az egységes struktúrában már megjelennek a legújabb technológiai eredményeinkhez kötõdõ megoldások is: NSS modul: A Novell Netware 4-es NSS nevû fájlrendszere ma minden adatmentõ cégnek problémát okoz, mivel a Novell nem adja ki a fájlrendszer leírását, így a struktúrája gyakorlatilag nem menthetõ. 17
NTFS modul: A Windows Vistából kimaradt a WinFS fájlrendszer, ám az NTFS fájlrendszer új elemeket tartalmaz a Microsoft legújabb operációs rendszerében. Az új lehetõségek újabb problémákat is felvetnek, így ezek megoldásait is szükséges beépítenünk a legfrissebb szoftvereinkbe. Felületi scan modul: A modul célja, hogy a fizikai mentést követõen keletkezõ heterogén bitfolyamban mely nem rendelkezik partíciós táblával megtalálja a különbözõ fájlokat, azonosítsa azok típusát és méretét. A modul fontos kiegészítõi: Fájl konzisztencia vizsgáló modul, amely azt vizsgálja, hogy a fájl a struktúrája alapján rendben van-e. Új Office formátumok: A Microsoft nem csak az operációs rendszerével, hanem a legújabb irodai programcsomagjával is kihívások elé állította az adatmentés világát. Az Office 2007 új xml alapú fájlformátumával készített fájlok (docx, xlsx, pptx) nem menthetõk illetve nem javíthatók az eddig használt szoftverekkel. A JPEG kódolású képfájlok igen elterjedtek és a kódolásukat nagyon sok szoftverbe beleépítették, azonban ha a fájl struktúrája megsérül a javítás csak ritkán sikeres. Egy lementett bitfolyamban gyakran nem is lehet megmondani, hogy hol kezdõdik és hol ér véget egy JPEG fájl. Kutatási munkánk során megpróbáljuk a képfájlok felépítését utólag rekonstruálni és a sérült fájlokat javítani, így dolgozva ki az automatizáltan mûködõ mentõ modul technológiai alapjait. A jövõ lehetséges adattárolási technológiának feltérképezése és tanulmányozása: A tudásközpont keretében átfogó képet kívánunk kapni arról, hogy mely adattárolási technológiák fogják uralni a piacot 2-5-10 éven belül. (Célunk válaszokat találni olyan kérdésekre, hogy mire készül az IBM, aki eladta a merevlemez üzletágát; és mit tud a Toshiba, aki ellenben folyamatosan bõvíti azt.) A fejlesztés keretében keletkezõ szoftver specifikációk, programmodulok és módszertanok a KÜRT Adatmentés üzletágának hasznosításába kerülnek. Az Adatmentés üzletág ezek felhasználásával 2009-ben teljesen lecseréli a jelenlegi szoftverparkját. A kifejlesztendõ belsõ használatú adatmentõ szoftverek legfontosabb elõnye a kereskedelmi forgalomban hozzáférhetõ adatmentõ szoftverekhez képest, hogy ezen szoftverek minden modulját részletesen ismerjük belülrõl is, így számos olyan finomhangolási lehetõséget tudunk kihasználni, amelyet egy megvásárolt szoftver esetében nem. Az elkészülõ egyedi adatmentõ modulokra építve 2009- ben létre kívánunk hozni egy kereskedelmi forgalomba hozható dobozos adatmentõ szoftvert, melyhez nem csak az adatmentés elméletét tudjuk felhasználni, hanem a KÜRT adatmentés üzletágának mûködése kapcsán keletkezõ több mint évi 3.000 adatmentés tapasztalatát is. Így ezen szoftverünk segítségével az egyszerûbb (logikai ill. szoftveres meghibásodásra visszavezethetõ) adatvesztési problémák speciális szakképesítés nélkül, egyénileg is orvosolhatóvá válnak. 18
Biztonsági megoldások optimalizálása Az információbiztonsági megoldások és folyamatok optimalizálására irányuló kutatás-fejlesztési tevékenységünk célja, hogy matematikai módszerekkel támogassuk a szervezetek infokommunikációs és üzleti folyamatainak modellezhetõségét, biztonsági minõsítését és elemzését, valamint testre szabott szolgáltatás-minõség monitoring szoftvereket fejlesszünk. Kutatás-fejlesztési tevékenységünk rövid távon matematikai modellek és számítási módszerek kidolgozását foglalja magában; míg hosszabb távon tervezzük megvalósítani az optimalizáló modellekre épülõ szolgáltatások és szoftverek kifejlesztését a biztonsági rendszerek szintézisére, tervezésére, optimalizálására és minõsítésére. A biztonsági minõsítés egy rendszer adott állapotának kockázati értékelését jelenti, tehát egy adott rendszer adott állapotához egy kockázati (valószínûségi, megbízhatósági, rendelkezésre állási) érték hozzárendelését. Ez a kockázati érték lehet kvantitatív (pl.: a megbízhatóság 78%-os) vagy kvalitatív (pl.: a megbízhatóság közepes). A minõsítésre használt matematikai modelljeink nemcsak az egyedi erõforrások minõségét veszik figyelembe, hanem az erõforrások együttmûködését, egymásra hatását is, a teljes rendszer céljának elérése szempontjából. Így a biztonsági optimalizálás egy olyan eljárás, amely meghatározza, hogy egy rendszerben rendelkezésre álló erõforrások felhasználásával mi az elérhetõ legjobb (optimális és kockázatarányos) állapot (a minõsítés szerint). Fejlesztési tevékenységünk során a szintézis / tervezés az az eljárás, amely során a rendelkezésre álló erõforrások (építõelemek) egy halmazából meghatározzuk, hogy melyeket érdemes felhasználni (bérelni vagy megvásárolni), annak érdekében, hogy az elemekbõl összeállított és optimálisan mûködtetett rendszer biztonsági szempontból is a legjobb legyen. A kidolgozott optimalizáló eljárás képes újabb erõforrások bevonása nélkül megadni, hogy az infokommunikációs szolgáltatások optimális minõsége érdekében a rendelkezésre álló erõforrásokat hogyan érdemes elosztani. 19
Az eljárás szintén alkalmas annak meghatározására, hogy adott költségkeret mellett mely fejlesztéseket célszerû végrehajtani, hogy azzal az infokommunikációs rendszer maximális biztonsági szint növekedését lehessen elérni. Eljárásunk újdonsága, hogy az optimalizálás során nem csak egy átfogó szolgáltatás-minõség érték optimalizálására törekszünk, hanem emellett több különbözõ szolgáltatásra minõségi minimumokat is megkövetelünk. Az eljárás kimenete a megkívánt minimum értékek megtartásával a legjobb átfogó minõségû erõforrás elosztás. Infokommunikációs rendszerek esetében például a minõségi szintek monitorozásával kimutatható, ha az elvárt minimum érték nem teljesül, így megoldást jelenthet az erõforrás átcsoportosítása, amely automatikusan számolható.. Munkánk során kiemelt hangsúlyt fektetünk a kutatás-fejlesztési projektek eredményeinek gyakorlati hasznosítására, amelyhez kapcsolódóan a második munkaszakaszban sor került a rövid, közép és hosszú távú célok definiálására, valamint az erõforrások bekerülési költségének és a tervezett megtérülési idõszakok meghatározására. A gazdasági válság hatására szinte minden szervezetnek elsõdleges céljává vált a hatékonyabb, költségtakarékosabb mûködés, amely sok esetben alapos felkészültséget, és speciális, a racionalizálás illetve optimalizálás irányába mutató szakértelmet igényel. Ezen üzleti igényre építve 2008 õszén olyan hatékonyságnövelõ termékcsomagot dolgoztunk ki, amely segítségével a döntéshozók pontos képet kapnak a folyamatokban és támogató rendszerekben megvalósítható változásokról és azok hatásairól, így kiszûrhetik rendszereikbõl azokat az elemeket, amelyek nem kritikus fontosságúak a szervezet mûködése, biztonsága és késõbbi sikerei szempontjából. A kidolgozott termékcsomag alapkoncepciója szerint a hatékonyságnövelõ intézkedések vagy akár összeolvadások és felvásárlások esetében az új, optimális szervezet és infrastruktúra kialakítása a folyamatok átgondolásánál kezdõdnek. Elsõ lépésként minden esetben szükséges a meglévõ folyamatok optimalizálása, és csak ezután következhet a folyamatok kiszolgálását támogató informatikai megoldások rendszerének racionalizálása. A módszertan segítségével az azt alkalmazó szakemberek gondos üzleti hatáselemzésre, a szervezet stratégiájára és jövõbeni terveire alapozva, az ok-okozati összefüggéseket feltárva, a biztonsági szempontokat figyelembe véve segíthetik elõ a megfelelõ, költséghatékony döntések meghozatalát. 20