Dr. Szenes Katalin - SOA - fejlesztés - elektronikus csatornák



Hasonló dokumentumok
Számítógépes információs rendszerek az iskolában és a gazdaságban Ismerjen számítógépes katalógusokat és adatbázisokat.

Dr. Szenes Katalin CISA, CISM, CGEIT

Dr. Szenes Katalin - wireless veszélyek, követelmények

Általános gimnáziumi képzés és német nemzetiségi nyelvoktató program 9. évfolyam

Osztályozó vizsga követelmények Informatika

amit tudni kell, és amit még ezeken kívül tudni kell

IT kockázatkezelés Kinek a felelőssége?

LOGO-VIR Oktatási terv. Pécs Megyei Jogú Város Önkormányzata Kontrolling (vezetői információs) rendszer oktatási terve

IT mentor képzés tematika oktatott modulok

Binarit.KPKNY. Áttekintés. BINARIT Informatikai Kft Budapest, Váci út 95.

Mérnöknek lenni annyit jelent: előre látni, hogy egy megvalósítandó rendszer/termék hogyan működik, viselkedik majd a hétköznapokban.

620. témaszámú nemzetközi könyvvizsgálati standard A könyvvizsgáló által igénybe vett szakértő munkájának felhasználása

A Semmelweis Egyetem kancellárjának K/9/2016. (II.29.) határozata. az Informatikai biztonsági szabályzat jóváhagyásáról

LOGO-VIR Teszt terv. Pécs Megyei Jogú Város Önkormányzata Kontrolling (vezetői információs) rendszer teszt terve

Egyéni álláskeresési tanácsadás a Pro-Team Nonprofit Kft.-nél

IT biztonságtechnikus képzés tematika oktatott modulok

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

EGYSZERŰSÍTETT PROJEKTMÓDSZERTAN AZ ÚJBUDA ÖNKORMÁNYZAT POLGÁRMESTERI HIVATALA RÉSZÉRE

PRIVACY POLICY. 1. Ki kicsoda a jelen Adatvédelmi Szabályzatban?

ÚTMUTATÓ A PROJEKTMENEDZSMENT TÁMOGATÓ RENDSZER

A csatlakozás érdekében a Csatlakozó adatkezelőnek az alábbi folyamat szerint kell informatikai rendszerének csatlakozását megvalósítani:

VESZPRÉM MEGYEI ÖNKORMÁNYZAT KÖZGYŰLÉSE HATÁROZAT

Informatikai hálózattelepítő és üzemeltető képzés tematika oktatott modulok

A TÁMOP kiemelt projekt céljai

Pályázati felhívás az EGT Finanszírozási Mechanizmus es időszakában a Megújuló Energia

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÁS munkaerő-toborzáshoz kapcsolódó adatkezelésről

Összegezés az ajánlatok elbírálásáról

SZOCIÁLIS INTEGRÁCIÓ SZOCIÁLIS SEGÍTŐKNEK

A KÓS KÁROLY ÁLTALÁNOS ISKOLA PEDAGÓGIAI PROGRAMJA

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÁS

VESZPRÉM MEGYEI ÖNKORMÁNYZAT KÖZGYŰLÉSÉNEK ELNÖKE 8200 Veszprém, Megyeház tér 1. Tel.: (88) , Fax: (88)

E-közigazgatási költség-hatékonysági módszertanok és benchmarking/monitoring rendszer kidolgozása

Projekt címe: Az IKT fejlesztése a sopronhorpácsi Általános Iskolában

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

A PROGRAMTERVEZŐ INFORMATIKUS SZAK OKTATÁSÁNAK TAPASZTALATAI A DEBRECENI EGYETEM INFORMATIKAI KARÁN

A TÁMOP / Referencia intézmény az Őrségben projekt Szervezeti és Működési Szabályzata

BUDAPEST FŐVÁROS XI. KERÜLET ÚJBUDA ÖNKORMÁNYZATA PROJEKTSZERVEZÉSI KONCEPCIÓJA

FELÜGYELT INTÉZMÉNYEKKEL VALÓ. Visszajelző anyag KAPCSOLATTARTÁSRÓL HÓDMEZŐVÁSÁRHELY POLGÁRMESTERI HIVATALÁNÁL. Visszajelző dokumentáció.

Mikro-, kis- és középvállalkozásoknak nyújtott tanácsadás

A területi kamarák és a Magyar Ügyvédi Kamara elektronikus ügyintézési törvényből fakadó 2018-tól teljesítendő feladatai

Közlemény. Módosított pont. dokumentum neve Pályázati útmutató és Pályázati felhívás. B1 Jogi forma (a szöveg kiegészítése)

1. számú Melléklet AZ ÖNKORMÁNYZATI ASP KÖZPONTOK KIALAKÍTÁSÁVAL KAPCSOLATOS KÖVETELMÉNYEK

ÁLLÁSHIRDETÉS TARTALÉKLISTA LÉTREHOZÁSA CÉLJÁBÓL

2. A számítógépes hálózatok előnyei 2.1. Elektronikus üzenetek, levelek, fájlok küldésének lehetősége o

INFORMATIKAI STRATÉGIA

A VÁLLALKOZÁSBARÁT ÖNKORMÁNYZAT VÁLLALKOZÓI INFORMÁCIÓS KÖZPONT

ADATVÉDELMI SZABÁLYZAT

SZEMÉLYES ADATOK ELŐZŐ MUNKAHELYEK

MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV

Pályatanácsadás Pályaválasztási tanácsadás (egyéni) 3. A célcsoport tagjainak kiválasztására alkalmazott eljárások, módszerek

Turisztikai attrakciók és szolgáltatások fejlesztése c. konstrukciójához. Kódszám: DDOP-2.1.1/D-12, KDOP-2.1.1/D-12, NYDOP-2.1.1/F-12 DAOP-2.1.

Felsőoktatási tematika Államháztartási szakterület

Sárospatak Város Polgármesterétıl

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

A kis- és középvállalkozások folyamatosan keresik azokat a lehetőségeket és megoldásokat, melyekkel erősíthetik, vagy javíthatják piaci pozíciójukat.

ADATVÉDELMI NYILATKOZAT BELCHIM CROP PROTECTION

Gyakorlati vizsgatevékenység

Dr. Görög István jegyző. Dr. Görög István jegyző

SZERVEZETT KÉPZÉSEINK

PÁLYÁZATI FELHÍVÁS a Társadalmi Infrastruktúra Operatív Program

Vállalkozóvá válást elısegítı tanácsadás

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Tudjuk-e védeni dokumentumainkat az e-irodában?

A fogyasztói tudatosság növelése. az elektronikus hírközlési piacon

PÁLYÁZATI FELHÍVÁS. Észak-Magyarországi Operatív Program

INTEGRÁLT NYOMONKÖVETŐ RENDSZER

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Helyi (térségi) foglalkoztatási tanácsadás

A PUBLIC RELATIONS TEVÉKENYSÉG ESZKÖZEI

10XONE Szoftver és szolgáltatási szerződés Általános Szerződési Feltételek (ÁSzF) XONE V3.2 SZERZŐDÉS

5CG. számú előterjesztés

Sberbank Online Banking Gyakran Ismételt Kérdések

Gyakorlati vizsgatevékenység B

A Hit Gyülekezete Informatikai Biztonsági Szabályzata

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS HATÁROZATA

ÁLLÁSHIRDETÉS TARTALÉKLISTA LÉTREHOZÁSÁHOZ. IT szakértő (F/N)

MINŐSÉGIRÁNYÍTÁSI KÉZIKÖNYV

ZÁRÓ VEZETŐI JELENTÉS TEVÉKENYSÉGELEMZÉS ÉS MUNKAKÖRI LEÍRÁSOK KÉSZÍTÉSE SZÁMÍTÓGÉPES ADAT- BÁZIS TÁMOGATÁSÁVAL

10xONE Szoftver és szolgáltatási szerződés Általános Szerződési Feltételek (ÁSzF) xONE V3.4

KÜRT Zrt. Kockázatelemzés riport

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Az Elektronikus közigazgatási keretrendszer szolgáltatásmenedzsment tárgyú ajánlásai

TÁJÉKOZTATÓ A TÁMOP /7

FOGYATÉKOS ÉS EGÉSZSÉGKÁROSODOTT FIATALOK PÁLYAORIENTÁCIÓJÁNAK HELYZETE. Elemző tanulmány

Adatkezelési tájékoztató

Szentlőrinc, augusztus 31.

PÁLYÁZATI FELHÍVÁS a Gazdaságfejlesztési Operatív Program keretében. komplex vállalati technológia fejlesztés kis- és középvállalkozások számára

PÁLYÁZATI FELHÍVÁS a Közép-Magyarországi Operatív Program keretében. Közoktatási intézmények beruházásainak támogatására. Kódszám: KMOP

MasterLogic-200 PLC. Nagy teljesítményű és sokrétűen alkalmazható CPU (nagy sebesség / memória, IECprogramozás

Lekérdező HypEx bankterminál

Általános Szerződéses Feltételek

Csapata erősítésére keres gyakornokot a Kultúra.hu. Jelentkezni fényképes önéletrajzzal a takacs.erzsbet@kortarsmedia.hu címre várjuk.

A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA

Gyakornokokat keresünk! akkor töltsd kötelező szakmai gyakorlatodat a GROW Csoportnál!

3. prioritás: A minıségi oktatás és hozzáférés biztosítása mindenkinek

TÁJÉKOZTATÓ. Bevezető

TÁMOP-6.1.4/12/ Koragyermekkori (0-7 év) program

Adatkezelési tájékoztató

Átírás:

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák Milyen veszélyeket hzhatnak az elektrnikus csatrnákn flyó kmmunikációra a SOA alapú fejlesztések? sőt: SOA veszélyek - elhárítási feladatk az intézményben Dr. Szenes Katalin CISA, CISM, CGEIT szenes.katalin@nik.bmf.hu Budapesti Műszaki Főiskla Neumann Jáns Infrmatikai Kar Alkalmaztt Infrmatikai Intézet SOA - alk.fejlesztés veszély elhárítás elektrnikus csatrna I. fejlesztő : akinek az Infrmatikai részéről feladata van az alkalmazásk fejlesztésében a szereplők és a préda ötletadók: szakmai szervezetek védelmi megldásk' 2006 "infrmatikusi" feladatk alkalmazáskat fenyegető veszélyek elhárításában, DE.. az intézményi infkmmunikációs rendszer integrált védelme - az infrmatikai biztnság 3 pillére mit várunk a szervezeti pillértől? és a szabályzástól? És a technikától?. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 2 SOA - alk.fejlesztés veszély elhárítás elektrnikus csatrna II. És mit várunk a technikától? az elektrnikus csatrnás alkalmazásk kmmunikációs útja mi köze a SOA architektúrának az elektrnikus csatrnákhz? alkalmazásfejlesztési zavark a kmmunikáció rétegei infrastruktúrális elemenként szereplők: emberek- mi, belsők, és ők, az ügyfelek fizikai szint - itt szereplők a "fejlesztői" körből? adatk, adatbázisk szereplők itt: elsősrban a prgramtervezők, prgramzók a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes a kmmunikáció - infrmáció - útja a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes bölcs tanácsk magyarázatk Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 3 1

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák A szereplők támadók alkalmaztt haszn partner tudatlanság szerződő fél: vevő, szállító rsszindulat versenytárs hacker, cracker, diák, szórakzás bűnöző, kém, ügynök, terrrista mi a srrend? védők munkaköri kötelességből szakmai szervezetek, közösségek tagjai és: a legjbb szakmai gyakrlat egyéb követői ötletadó szintén: a szakmai szervezetek, internet, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 4 és a préda mit lehet szerezni? adatkat személyaznsságt titkkat előnyöket - másknak hátránykat, pl. pénzt versenytársat tönkretenni célpnt: magánemberek cégek állam Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 5 ötletadók: a szakmai szervezetek ISACA - Infrmatin Systems Audit and Cntrl Assciatin - CISA, CISM Manual ITGI - IT Gvernance Institute - ISACA - COBIT ISO - Internatinal Standards Organizatin 27000-es család, stb. nem szakmai, de haszns: USA állami, egyéb frrásk "internetesek" W3C - Wrld Wide Web Cnsrtium és (majdnem) SOA specifikusak OASIS - Organizatin fr the Advancement f Structured Infrmatin Standards - www.asis-pen.rg -e-business szabványk, nn-prfit OWASP - Open Web Applicatin Security Prject www.wasp.rg - megbízható alkalmazásk fejlesztése Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 6 2

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák Védelmi megldásk' 2006 (majdnem) rendezett és ellenőrzött fejlesztési munka sérülékenység befltzása kívülről technikai eszközökkel csalásfelderítő alkalmazásk futtatása - infrastruktúrális elem - szintenként az elkészült mű próbája: tesztelés környezeti / támadás szimuláció szkennelés Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 7 Milyen legyen a védelem? - 2006-ban milyen? mit? hl? praktív mindig figyelő adatk intézményi módszeres hálózatban összes kmm. rétegre szlgáltatásk szlg. teljes életciklusára céghatárn túl is Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 8 "infrmatikusi" feladatk alkalmazáskat fenyegető veszélyek elhárításában, DE... az intézményben mindenkinek van feladata "infrmatikus": rendszerszervező felmérés egyeztetés rendszerterv prgramzó a prgram készítésekr: ellenőrzési célk az adtt eszközhöz a specifikumk kihasználása, pl. sztály - típuskezelés hibakezelés - fátum: pl. kifgytt a papír kivétel kezelés - mi hibánk: pl. felületes típusellenőrzési gyakrlat tesztelő üzemeltető +! incidensek kezelése de: az egész intézménynek vannak feladatai: a(z elkötelezett!) vezetőségnek üzletnek támgatóknak Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 9 3

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák az intézményi infkmmunikációs rendszer integrált védelme - az infrmatikai biztnság 3 pillére szervezet szabályzás technika struktúra - SZMSZ IBSZ az IT infrastr. elemek: jgk / felelősségek - feladatk - tplógiája, elrendezése elszámltathatóság munkakörök - jgsultságk - implem., knfigurálás kötelességelhatárlás - naplózás - karbantartás, felügyelet tev. felügyelet internetezés ktatással a levelezés védelmi rendszerek: -tudatsság fejlesztése adatvédelem tűzfal, ID(P)S,... törvényekhez, rendszerfejlesztési flyamat -iparághz cmpliance szabályzása (SDLC - ISO/IEC 12207 Infrmatika. Szftveréletciklus-flyamatk) Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 10 mit várunk a szervezeti pillértől? - és kinek kell megcsinálnia? követelmények szervezeti egységek rendelkezésre állás integritás bizalmasság hzzáférésvédelem jgi, hatósági megfelelés funkcinalitás legjbb szakmai gyakrlat legfelső vezetés infrmatika fizikai, lgikai IT biztnság (független kell legyen!) belső ellenőrzés jgi részleg külső audit segítség: IT irányító bizttság kckázatkezelési segédszervezet Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 11 mit a szabályzástól? - és ki írja ezeket a szabályzatkat? Szabályzás, flyamatk: rend, kötelességelhatárlás, jgsultságk: hzzáférés munkáhz szükséges ki / hl / mit / milyen jgsultsággal / mikr / hgyan / miért kell történeti jgsultságkezelés (Active Dir. inf kevés) ktatás: kapcslatfelvétel csak óvatsan idegeneknek meggndlt felvilágsítás rend a számítástechnikai alkalmazásk fejlesztésében váltzáskezelés, dkumentáció, üzletmenet flytnsság Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 12 4

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a 3. pillér és mit várunk a technikától? veszély: a kmmunikáció útja szerint infrastruktúrális elemek szerint a kmmunikáció eszközkészlete szerint intézmény - ügyfél között elemenként pl. http(s), xml pén előre - védelem: megakadályzó / vizsgálati / kárenyhítő ("ellenőrzési") intézkedések rendezett - tervezett fejlesztés jgsultságkezelés, váltzáskezelés, DOKUMENTÁCIÓ Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 13 az elektrnikus csatrnás alkalmazásk kmmunikációs útja intézmény és külső partner között: intézményi hálózat - intézményi infrmatika felelőssége külvilág - mindenki felelőssége, de elsősrban az alkalmazás felhasználójáé, az ügyfélé részletek: legbelső, legfntsabb rendszerek bizalmas, fnts kihasználható ügyfél-, partner-, dlgzói, stb. adatk középső perimeter a legbelső perimetertől és a legkülsőtől is! elválasztandó elektrnikus csatrna és egyéb! feldlgzásk, távli bejelentkezés fgadása, stb. esetleges tvábbi perimeterek a külvilágtól, "azaz az internettől" elválasztó perimeter elektrnikus csatrnás alkalmazásnál itt fnts védendő elem: a webszerver(ek) - a mögöttes adatbázisk beljebb lehetnek Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 14 mi köze a SOA architektúrának az elektrnikus csatrnákhz? frnt-end: üzleti alkalmazásk belépési pntja a "SOA" az alkalmaztt "belépési pntja" lesz üzleti szakterületi alkalmazttak jgsultságát itt lehet kezelni csatrna kmmunikáció: a legbelső rendszertől az intézményi hálózatn kívüli ügyfélig része a SOA-n belüli kmmunikáció is a csatrnára vnatkzó követelményeknek érvényesülnie kell(ene) mi lehet prbléma?. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 15 5

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák mi köze a SOA architektúrának az elektrnikus csatrnákhz? baj visznt, ha: ellenőrizetlenül - ismeretlenül hívnak az üzleti rendszerek szlgáltatáskat a frnt-end-ből ellenőrizetlenül (azaz nem üzleti igény) nyílt, nem titksíttt a kmmunikáció rendezetlen az alkalmazásfejlesztés, és így a csatrnás alkalmazásé is ez mint alkalmazásfejlesztési prbléma Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 16 alkalmazásfejlesztési zavark a számítástechnikai alkalmazásk fejlesztése életciklus, majd a fázisk nem tudni: kinek, mikr, mi,... teendőinek meghatárzása a feladata mi van kész, és mi nincs, egyáltalán, hány %-ra kész? tesztelés felelőseinek, funkcinalitás sérülése +! módjainak meghatárzása sérülékeny termék új módszerekről álmdunk, de - " - nem vagyunk még felkészülve SOA, kapkdva - " - SOA - web-szlgáltatásk sérülékenységei + hagymánys alkalmazási sérülékenységek: Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 17 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek 1. réteg: az emberek - a szereplőink dlgzók + ügyfelek ill. belülről + kívülről veszély: intézményben: scial engineering egyedi felhasználóknak való kiszlgáltatttság és a szervezeti prblémák ügyfélnél: saját stbaság phishing történetek adatkérő e-mail egy szlgáltató nevében "ingyenes filmek, képek, prnó, játék, stb. web ldal hamisítás, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 18 6

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek védelem: az intézményi ldaln: szervezeti pillér tevékenységek pnts definíciója & felügyelete, kötelességelhatárlás, többi szervezeti pilléri elvárás szabályzási pillér: teendők pnts és világs leírása! ide tartzik a rendszerfejlesztési flyamat felhasználói leírás - üzleti szakterület üzemeltetési utasítás - infrmatikai szakterület többi szabályzási elvárás ügyfél ldal:. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 19 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek az ügyfél ldalán - is van feladata az intézményi Infrmatikának: PIN kód, tken, SMS, stb ügyfél ktatása: patch vírusvédelem, stb.. ne bízzunk a tőlünk már letöltött kliensben szerver ldali ellenőrzések miről van szó? kliens: az a prgram, amit az ügyfél használ, a PC-jén tthn internet kávézóban, stb. szerver: az, ami a klienssel tartja a kapcslatt egy középső perimeterben (ld. kmm. útja) kell elhelyezni, és ellenőrzéseket kell definiálni - milyeneket, pl.? Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 20 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek szerver ldali ellenőrzések pl. elég gyakri a Java prgram de más eset is hasnló megtervezett típuskezelés megtervezett kivételkezelés adatbeviteli ellenőrzések (Dashöfer - Infrmatikai biztnsági kézikönyv / COBIT) haszns alkalmazási ellenőrzési célk: 1. A frrásadatk előkészítése és hitelesítése 2. A frrásadatk összegyűjtése és bevitele 3. Pntssági, teljességi és hitelességi ellenőrzések 4. A feldlgzás sértetlensége és helyessége 5. Az utput felülvizsgálata és a legjbb szakmai gyakrlat szerint való kezelése, az adatk egyeztetése. Hibakezelés 6. A tranzakciók sértetlensége és hitelessége saját: 7. A közlekedő adatk bizalmassága ezekhez kellenek ellenőrzési intézkedések Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 21 7

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció rétegei - infrastruktúrális elemenként - fizikai szint - itt szereplők a "fejlesztői" körből? 2. réteg: a fizikai erre szabályzatt a rendszerszervezők írnak - jó esetben az egész épület a gépterem dkumentumk, bármilyen közegen, főleg: a nymtatványk a prfi is kukázik fizikai biztnsági védelem: ajtók zárva tartása kártya / kulcs őrzése piggy backing megakadályzása ajtónyitó kód bizalmas kezelése idegenek kikérdezése adattárlók ügye az adat különféle állaptaiban! laptp, mzgatható periféria, pl. USB-t, stb. ki/be vinni/hzni Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 22 a kmmunikáció rétegei - infrastruktúrális elemenként - adatk, adatbázisk szereplők itt: már előtérben a prgramtervezők, prgramzók 3. réteg: az adatk - adatbázisk - mi érheti az adatt? máslás, lpás törlés, egyéb rngálás módsítás és miért, mi vlt a baj? néhány példa: /1 SQL injectin - ka: ellenőrizetlen adatk inputja, pl. web ldaln a szövegdbzba ügyfél PC-n futó Java klienstől az intézményi Java szerverhez eredménye: értékes inf-k lekérdezése, felülírása új felhasználók felvétele jelszavak kiküldése mail-ben a támadónak, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 23 a kmmunikáció rétegei - infrastruktúrális elemenként - adatk, adatbázisk szereplők itt: elsősrban a prgramtervezők, prgramzók /2. crss-site scripting - ka: belvasunk ellenőrizetlen adatt, ami rsszindulatú Java script, ezt a támadó web ldaln kiíratja, végfelhasználó belvassa, gépe végrehajtja /3. HTML paraméterek rsszindulatú módsítása - ka: ellenőrizetlen paraméterek belvasása HTML frmkból és ezek kerülnek be HTTP request-be /4. URL módsítás - ka: a támadó módsítja az URL string-et, és így juttatja be saját adatát a védendő adatbázisba stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 24 8

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes 4. réteg: az infrastruktúrális elemek karbantartása - ezt az üzemeltetéstől várjuk persze mi a sérülékeny: perációs rendszerek kliensfarm szerverfarm hálózati eszköz - switch, ruter védelmi eszköz tűzfal IDS / IPS web szerver célgép ATM srszámsztó, stb, adatbázisk Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 25 a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes az infrastruktúrális elemek tipikus hiánysságai, amelyek sérülékenységet kznak: perációs rendszer: felesleges szlgáltatásk - hardening kell elavult verziók rssz knfiguráció jgsultsági prblémák: gyári jelszavak váltzatlanul hagyása, és / ill. közös jelszavak stb. adatbázisk: hiányzó patch rssz knfiguráció jgsultságk - ahgy perációs rendszernél és mindehhez skszr krrektív ellenőrzési intézkedés sincs Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 26 a kmmunikáció - infrmáció - útja 5. réteg: az infrmáció útja fizikai / elektrnikus frmában inf intézmény => felhasználó fizikai <= publikus } frma { elektrnikus magán pl.: legbelső rendszer - középső perimeter - web szerver belső hálózat közbülső lgika első kapcslati pnt ellenőrizetlen szervezetlen illetéktelenek hzzáférése ellen nincs biztsíték Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 27 9

Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák bölcs tanácsk, és nemcsak SOA kmpnenseket fenyegető veszélyek ellen az infrmatikai flyamatkhz ellenőrzési célk hzzárendelése az ellenőrzési célk elérése alkalmas ellenőrzési intézkedések / eljárásk meghatárzása megakadályzó vizsgálati kárenyhítő intézkedések: rendezettség, fegyelem, karbantartás, a rendszerfejlesztés egész életciklusa alatt legjbb szakmai gyakrlat követése (rendszerszervezési, prgramzási, tesztelői, kulcsfelhasználói feladatk) tesztelés, szkennelés, naplózás, csalásfelderítés,megelőző vizsgálatk, titksítás, digitális aláírás - PKI Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 28 Magyarázatk hacker - Wikipédia nymán - guru, varázsló prgramzó, aki prgram kód, vagy erőfrrásk módsításával próbál valami sérülékenységet kihasználni lehet lyan infrmatikai biztnsági szakértő, aki jól ismeri a számítógép, a számítógéphálózatk biztnsági lehetőségeit, és felhívja a figyelmet gyengeségeikre, vagy megpróbálja ezeket kihasználni cracker: a "feketekalaps", a rsszindulatú hacker - néha frdítva van a cracker a jó, hacker a rssz Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 29 Magyarázatk infrastruktúrális elem - amit sérülékenység szempntjából érdemes megkülönböztetni: - Az infrmatikai infrastruktúra kmpnensei. Maga a számítógép is infrastruktúrális elem, a rajta futó szftverrel, az adatbázis kezelő rendszerrel, a számítógépes kmmunikációt biztsító hálózati elemekkel, az infrmatikai szlgáltatás megfelelő minőségét, sértetlenségét és bizalmasságát biztsító védelmi elemekkel (azk részeivel - infrastruktűrális elemeivel) és persze az ezek segítségével működő, az üzleti flyamatkat szlgáló alkalmazói prgramrendszerekkel együtt. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 30 10

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés