IBM Software Group Adatvédelmi és megırzési megoldások IBM Tivoli eszközökkel Kocsis Zsolt IBM
Never fly in a plane designed by an optimist.
Massive Insider Breach at DuPont February 15, 2007 A research chemist who worked for DuPont for 10 years before accepting a job with a competitor downloaded 22,000 sensitive documents and viewed 16,706 more The The best best way way to to guard guard against against insider insider breaches is is for for companies to to monitor database and and network access access for for unusual activity and and set set thresholds that that represent acceptable use use for for different users. users. What occurred: Employee leaving for competitor Accessed database Transferred 180 documents to new laptop Carnegie Mellon Comments: 75% of confidential information thefts studied were committed by current employees 45% had already accepted a job offer with another company CIA Comments: designers and scientists tend to view their company's intellectual property as their own and something they want to take with them Source: InformationWeek, Feb. 15, 2007
Belsı támadások elkerülése Tivoli technológia Tanulmány a belsı témadásokról, a USA titkosszolgálatainak megbizásából:* Néhány biztonsági támadás költsége > $10M Tivoli Identity Manager 86% a támadóknak technikai poziciót töltött be 90%-a rendszer adminisztrátor, vagy kiemelt jogosultságú felhasználó A kockázatok csökkentésének legfontosabb módjai: A jogosultságok életciklusának kezelése, jogok visszavonása kilépéskor Auditok végzése, arre vonatkozóan, hogy ki, mit és hogyan ért el A kiemelt jogosultságú felhasználók viselkedését monitorozni kell Tivoli Compliance Insight Manager * Feb, 2007, http://www.cert.org/archive/pdf/commonsenseinsiderthreatsv2.1-1-070118.pdf
2004 évi XXII törvény elıírásai a pénzügyi szervezetek mőködésével kapcsolatban A 13/B. (5) pont a következıket írja elı a pénzügyi szervezetek számára: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmő és visszakereshetı azonosításáról; b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körőségét biztosító ellenırzésekrıl, eljárásokról; c) a rendszer szabályozott, ellenırizhetı és rendszeresen ellenırzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelısségi körök, hozzáférés naplózás, rendkívüli események); d) olyan biztonsági környezetrıl, amely az informatikai rendszer mőködése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önmőködı) és érdemi értékelésére, illetve lehetıséget nyújt a nem rendszeres események kezelésére;
Egyéb rendelkezések Gyógyszeripar Amerikai tızsde: Sarbanes-Oxley Act (NASDAQ) Health Insurance Portability and Accountability Act (HIPAA) FDA (U.S. Food and Drug Administration)
Cél: csak a megfelelı személyek érjék el a részükre engedélyezett adatokat, az engedélyezett adatfelhasználási célnak, és szabályoknak megfelelıen. Kik a belsı és külsı ügyfelek, és milyen jogosultságokkal rendelkeznek? Milyen adat-felhasználási házirendet kell betartani? Hogyan ellenırizhetı az alkalmazások adatkezelése? Hogyan hozhatóak létre személyes adatok használatát leíró házirendek, és hogyan garantálható ezek betartása? Milyen adat megırzési kötelezettségeink vannak, és hogyan tudunk ezeknek megfelelni? A IBM TIVOLI termékcsalád kész technológiákat biztosít a fenti problémák megoldására. Tivoli termékcsalád elemei: Rendszermenedzsment, Adattárolás menedzsment, és Biztonsági termékek
Mirıl is lesz szó? Identitás infrastruktúra felépítése elemei Az identitás-kezelés funkciói, moduljai Identitás menedzsment Egyszeres bejelentkezés- SSO Címtár integráció Föderatív Identitás menedzsment Biztonsági esemény és felhasználó viselkedés kontroll SOA környezetek kialakításának biztonsági megfontolásai Hosszú távú adattárolás, archiválás
Vállalati biztonsági modell Határırség (tartsuk kívül...) Tőzfalak VPN Antivírus Betörés-érzékelés Határırség Audit-réteg Kontroll-réteg Kontroll-réteg Ki léphet be? Mit érhet el és mit tehet? Egyéni preferenciák? Audit réteg Szabályzatoknak való megfelelés Audit jelentések Kockázat-elemzés Biztonsági események kezelése A felhasználók kontrollja: Authentikáció Authorizáció Web Services, legacy és saját alkalmazások
Identitás, kockázat és megfelelıség menedzsment Azonosítás, Authorizáció, egy pontos bejelentkezés Felhasználó adminisztráció és menedzsment LDAP Címtár Identity Manager Sérülékenység és biztonsági megfelelıség Federated Identity Manager Security Compliance Manager Access Manager Szervezetek feletti (Federated) biztonság Directory Server Directory Integrator Privacy Manager Személyes adatok kezelése Adat Szinkronizáció Complicance Insight, Operations Biztonsági események, és felhasználói tevékenyslg központi korrelációja és felügyelete
Tivoli Identity Manager
Kézi erıforrás kiosztás Melyek Napjainkban a problémák? a legtöbb szervezet A kézi manuális erıforrás biztosítás 12 napot folyamatokat is igénybe vehet felhasználónként a A hozzáférési profilok 30-60%-a jogosultságok érvénytelen - Chris Christiansen, IDC kiadására Adminisztrátorok Új felhasználók Várakozás Hiányzó Audit napló Erıforrásokkal ellátott felhasználók Késedelmes kérelem Hozzáférési Kérelem Növekvı erıforrás-szám Hibák Házirend és a szerepkör összevetése IT InBox Hiányos kérelmek Jóváhagyási útvonal
TIM - logikai nézet Szervezeti felépítés Szerepkörök hozzárendelés Identitás birtoklás Szervezetek manager developer Accounts Szervezeti egységek Helyek alkalmazás Policy-k root Administrator Szolgáltatások létrehozás Helyek Új alkalmazott alkalmazás unix windows indítás Folyamatok
TIM: adminisztráció szerepkörök segítségével A szerepkör egyezı felelısségi körő felhasználók győjteménye Statikus vagy dinamikus szerepkörök definiálhatók A dinamikus szerepköröket LDAP-lekérdezések adják meg Pl. menedzser neve, szervezeti egység,... A provisioning folyamatok szerepkörhöz való tartozás alapján zajlanak
Az Identity Manager mőködési modellje I Role Based Felhasználó Szerep Provisioning Policy attr Szolgáltatás (erıforrás) A felhasználói felelısségi körnek megfelelı szerepkörhöz rendelés A szerepkör tagjainak erıforráshoz rendelése A Provisioning Policy attribútumokat is meghatározhat (pl. felhasználói lemezterület-kvóta, csoport-tagság,...)
A probléma: a szerepkörök meghatározása I. Az aktuális jogosultsági rendszer nem kiosztása nem szabályok, hanem szokások alapján történt Sok a kivétel Sok az érvénytelen, árva account Egy felhasználó több User ID-vel rendelkezik, a leképzési szabály nem pontos Nincsenek meg az adott jogosultság kiadás- visszavonás munkafolyamatai, jóváhagyók. A szervezeti felépítés, a HR adatbázis, nem pontos, nem elég részletes, nem tartalmaz minden felhasználót, vannak külsısök. DE Vannak triviális szerepkörök. A szerepkör elve a szokásokban már mőködött. Vannak olyan eszközök, amivel egy adott jogosultsági helyzet, kiindulási állapotként feldolgozható
A probléma: a szerepkörök meghatározása II A meglévı jogosultsági kép feldolgozásával effektív szerepkörök keresése. Matematikai (adatbányászati) módszerrel Probléma: zajos, az eredmény nem tükrözi a vállalat elvárt mőködési modelljét. Ennek ellenére kiindulási képet biztosít a további tervezéshez. László Péter Mihály Károly Éva Szerepkör Zoltán A javasolt megoldás: a teljes szervezet átvilágítása, szerepkörök megállapítása, definíciója, és bevezetése.
Az Identity Manager mőködési modellje II Request Based Felhasználó Kérelem Jóváhagyás attr Szolgáltatás (erıforrás) A felhasználó felelısségi körének megfelelı erıforrásokhoz hozzáférést kér. A kérelem a megfelelı jóváhagyókhoz kerül. Az igényelt erıforrások megnyitása, vagy visszavonása megtörténik.
Az egyeztetés összeveti az elvárt és a valós állapotot Felhasználó Szerep Provisioning Policy Szolgáltatás (erıforrás) A szabályok betartatása történik a reconciliation során (pl. egy erıforrás elérési jogosultságai) A TIM visszaállíthatja a jogosulatlan módosítások elıtti állapotot (lokális admin tevékenység) A reconciliation felfedi az árva account-okat, amelyek adoptálhatók, felfüggeszthetık, vagy törölhetık
IBM Tivoli biztosítja az identitás menedzsment megoldások teljes körét Üzemeltetési feladatok Hybrid Megközel zelítés Kezdeti szerepkörök, Fejlesztés költségek Kézi Profile:Magasan képzett specialisták Sample Industry: Professional Services Sample Customer: Jogi, pénzügyi tanácsadó cég Profile: Különbözı, kevert munkakörök Sample Industry: Retail Banking Sample Customer: Bankok, biztosítók Automatikus Profile: Nagy számú, elsıdlegesen homogén tudású ügyfelek, munkatársak Sample Industry: lakossági alkalmazások
Engedélyezési folyamatok
Folyamatelem-típusok Approval: RFI: Loop: lépések Extension: Script: Jóváhagyási lépés kezdeményezése (akár egynél több jóváhagyóval, timeout definícióval) Információk bekérése Ciklus: megadott ideig vagy bizonyos feltételek teljesüléséig ismétlıdı Külsı processzek hívása, bemeneti és kimeneti paraméterek megadása. Java hívást használhat. Javascript-tel megfogalmazott feldolgozás Work Order: e-mail értesítés befejezıdött vagy elvégzendı lépésrıl (pl. engedélyezés) Subprocess: Különállóan létrehozott folyamat
Elosztott adminisztráció Az ellenırzést a döntéshozó közelébe kell vinni A felhatalmazások megosztása Skálázhatóság növekedése Gyorsabb folyamatok e-business Virtual Enterprise Your Privilege Information Enterprise User & Finance IT R & D Workgroup Administrator Workgroup Administrator Workgroup Administrator Business Partner Business Partner Administrator
Jelszó menedzsment Helpdesk költségek csökkentése Önkiszolgáló, minden rendszerre kiterjedı jelszó reset Jelszó szabályzat ellenırzése Challenge-Response ( kérdés-válasz) megoldás az elfelejtett jelszavak kezelésére. Jelszó eljuttatás biztonságos módon. Help Desk hívás költsége $20-per-call jelszó újraindítás esetén Gartner Group Átlagosan alkalmazottanként 3-4 újraindítási igény jelentkezik évente Meta Group 1 2
Audit és riportok A következı elemek idıbélyeggel kerülnek a TIM adatbázisban tárolásra Kérelmek Jóváhagyások Változtatások Standard jelentések pdf formátumban Mőködtetés - Operation Szolgáltatások - Service Felhasználók - User Elutasított tevékenységek -Rejected Egyeztetés - Reconciliation Alvó Dormant CSV formátumú jelentések a tovább feldolgozáshoz
Tivoli Identity Manager (TIM) HR rendszer Biztonságos 128-bites titkosítás PKI authentikáció Identity Manager LDAP DSML Menedzselt erıforrások 70+ támogatott rendszer Kétirányú Finomhangolt vezérlés Hatékony WAN környezetekben Adatszinkronizáció DSML ODBC HTTPS Lokális és távoli mőködtetés Címtárak Felhasználói mőveletek Önkiszolgáló mőködés Kérelem és engedélyezés Testre szabható folyamatok Grafikus folyamatszerkesztı Tranzakciós integritás
Tivoli Directory Integrator
IDI bemutatása IBM Software Group Tivoli software Adatszinkronizálást és cserét hajt végre különbözı adatbázisok és címtárak között Elosztott architektúra: mindenki a leghatékonyabb eszközökkel és módszerekkel menedzseli az adatokat Adat transzformáció (AssemblyLine), eseménykezelés, scriptek: szinkronizáció mindig a leghitelesebb forrással, az üzletviteli szabályoknak megfelelıen Elıre ütemezett, vagy eseményvezérelt szinkronizáció EventHandlers Valós-idejő integráció elıre definiált eseményekre való reagálással AssemblyLines Az elıre definiált folyamatok megvalósítása: adatok átalakítása, új bejegyzések létrehozása, módosítása, rendszerek adatainak frissítése Címtár Bemeneti rendszerek Connectors Rendszerekhez, alkalmazásokhoz történı kapcsolódás, adatszerkezetek leírása LDIF File RDBMS Parsers Beérkezı adatok értelmezése és átalakítása a kívánt formátumra
Integrációs feladatok megoldása a felhasználói adatok szinkronizációjával Feladat Egyes adatelemek szinkronizációja szükséges Felh. mobiltelefonszámok Hiteles adatforrás IDI Felh. költséghely Hiteles adatforrás, B szervezeti egység Hiteles adatforrás, A szervezeti egység IDI Hiteles adatforrás, C szervezeti egység Feladat Több vállalati adatforrás pontos és szinkronizált fenntartása Feladat Különbözı interfészek gyors kialakítása elosztott adatforrások és végpontok felé Identity Sources IDI IDI End Points
Server SSO IBM Software Group Tivoli software
Partnerek IBM Software Group Tivoli software TAM for e-business - integrált megoldás Címtár-alapú identitás-felügyelet Ügyfelek H TT TT P P R O XY XY Biztonsági szint Központi felh. adattár Központi házirend X M L // W E B S E R V II C E S B U S II N E S S L O G II C P L U GĪ GĪ N Alkalmazottak Szállítók Nyílt internet Demilitarizált zóna Alkalmazottak Intranet
Login Please enter your ID and password ID Password IBM Software Group Tivoli software TAM for e-business authentikáció C 13289576 SECURID Különbözı authentikációs eljárások használata Access Manager A felhasználók identitásának ellenırzése Basic authentication Forms-based authentication X.509 Certificate Kerberos ticket RSA SecurID Token Mobil eszközök További, külsı ún. Pluggable Authentication módszerek & mások
Tivoli Access Manager for e-business
Az authorizáció lépései Kérés Elutasítás Elutasítás Engedélyezés / Elutasítás nem nem engedélyezés elutasítás ACL kiért. igen POP kiért. igen Szabály kiért. Hozzáférés csoport- és felh. jogok alapján Objektum tulajdonságok (pl. auditálás, napszak, stb.) Dinamikus kiértékelés, pillanatnyi feltételek szerint
Authorization performed by WebSEAL
Authorizáció nem csak URL szinten Master Authentication/ Authorization Services Login Please enter your ID and password ID Password C SECURID 13289576 WebSEAL SSO WAS WAS Web Svr. Servlet Authorizáció Erıforrás HTTP header info Alkalmazások WebSEAL (robusztus authentikáció, Web/URL SSO, magas rendelkezésreállás, skálázhatóság) Java alkalmazás (EJB-k/servletek) C, C++ alkalmazás (aznapi hívásokkal - Open Group szabvány)
Kliens SSO IBM Software Group Tivoli software
Jelszó-menedzsment problémák Nem minden alkalmazás saját alkalmazás. Idı és pénz Felhasználói elégedetlenség a jelszavak áttekinthetetlensége miatt. Folyamatosan idıt vesz el az alkalmazásokba történı bejelentkezés, vagy elfelejtett jelszavak keresése, újraindítása. Magasak jelszóval kapcsolatos támogatási költségek. Biztonság Nem megfelelı jelszó választás és kezelés miatti biztonsági kockázatok. Kritikus alkalmazások biztonságának megvalósítása problémás. Nehéz a komplex, fokozott biztonságot nyújtó azonosítási rendszerek integrációja a meglévı alkalmazásokhoz. Törvényi szabályozás Személyes adatok hozzáférésének korlátozása, valamint minden üzleti adathozzáférés, jogosultság követése.
Tivoli Access Mgr for Enterprise Single Sign-on Bejelentkezés és jelszóváltás támogatása a legtöbb Windows, Web, Java és Host (kliens) alkalmazáshoz Az egyedüli, elsıdleges authentikáció a Windows bejelentkezésen keresztül, biometrikus, smart card, LDAP, PKI tanúsítvány kiegészítéssel. Automatikus jelszó generálás és jelszó házirend támogatása Minden használati mód támogatott: on-line, off-line, több gépes, vagy kioszk Felhasználja a meglévı vállalati címtárat vagy adatbázist a felhasználók és adminisztrációs adatok tárolására. Rekord szintő azonosítási információ szinkronizáció és adminisztráció címtárban, file-ban, vagy adat bázisban. Az azonosítási információk titkosított tárolása kiválasztható titkosító algoritmus segítségével (3DES, AES), egy bejelentkezéskor csak a szükséges azonosító információ kerül visszafejtésre.
IBM Tivoli Access Manager for ESSO Architecture ESSO Console Password Directory, Domain, Database User Windows Custom Apps PKI Mainframes (OS390, AS400) Biometrics TAM for Enterprise Single Sign-on Java Apps Token/ Smart card Healthcare Apps User Auth User s Desktop Application Sign-On
A TIM, TAM és IDI integrációja Identitás-vezérelt felhasználói account-ok TIM Felhasználók Account-ok Kontroll ki jöhet és mit tehet? HR LOB Partner Directory NOS Szabályzás White Pages email Directory Telepho ny Charge Centers IBM Directory Integrator Címtárak szinkronizációja Access Manager Identitás-vezérelt hozzáférés-szabályzás
Federated Identity Management
Federated Identity Manager Tipikus forgatókönyvek Több szervezet, vagy egy szervezeten belül több független intézmény Cél: a felhasználó információk megosztásával, a bizalmi kapcsolatokon keresztül. Third Party User Portal Partner Third Party Érték: Az újabb funkciók, feladatok integrációja, alacsony költségszinten, SOA architektúrával. Alacsonyabb Identitás menedzsment és help-desk költségek Egyszerőbb kezelés User Company A Pension Holder Company B Stock Options Company C HR Provider
Federated Identity Manager Federated SSO 1 MyHR.com Options.com Options.com End User HTTPS Access Manager 2 SSO Protocol Service Trust Service Token Services Identity Services SSO SAML Liberty WS-Federation Federated Identity Manager 3 Stock Options 1. A felhasználó belép MyHR.com oldalra - TAM authentikálja, és indítja a session-t TAM kapcsolatba lép a FIM-mel 3. FIM létrehoz egy SSO a külsı site-on. - FIM létrehozza SSO Token session-t 4. Options.com hozzárendeli a token-t egy helyi identitáshoz A felhasználó szempontjából SSO a külsı szolgáltatáshoz 4 User x 2. Felhasználó egy külsı linkre lép -Options.com - Link Liberty, WS-Fed, vagy SAML kapcsolatnak megfelelıen van konfigurálva.
TFIM Architektúra áttekintés Federated Single Sign-On Secure user interaction Federated Web Services Secure application interaction Web Portal Web Portal Web Application App Portal App Gateway ESB App O p e n Provisioning System Business agreements Federated Provisioning Trust infrastructure Transport: SSL/TLS, WS-Sec Database Message: sign/ encrypt Tokens: sign/encrypt Provisioning System Legal agreements S t a n d a r d s Technical implementation
Federated Identity Manager Federated SSO Token modules SAML assertion (1.0, 1.1, and 2.0) Liberty assertion (1.1 and 1.2) User name token X.509 (validate only) Kerberos (validate only) RACF PassTicket JAAS Subject Access Manager credential Input Token Module STSUUser XML XSL Configured Mapping Identity Mapping Module XML Parser Output Token Module STSUUser XML Trust service includes a mapping module Performs mapping using XSL transformations Custom mapping modules can also be added Trust Service Trust Trust Service Issue token for use with protected resource Protected resource with client's authenticated ID Exchange presented token for locally valid token or ID Valid local token or ID Client Authenticate Point of Contact Pass Identity Point of Contact Authorize Protected Resource
Tivoli Privacy Manager
Személyes adatok kezelése: ki, mely adatot, milyen célból használhat Személyes adatok körének meghatározása, ezen adatok elkülönítése Adattulajdonos döntési jogkörének biztosítása Adatot felhasználók szerepkörökbe sorolása Az adott adatra vonatkozó célok alkalmazások körének meghatározása Adathozzáférés ellenırzése, a szabályok betartatása Az adat felhasználási szabályok dokumentálása Adatfelhasználás naplózása, audit képességek
A Tivoli Privacy Manager funkciói A személyes adatok megadása Privacy Manager Monitor Hozzáférés a személyes adatokhoz Külsı User Data Subject Alkalmazás 2 Adat tárolás Belsı User Data User A szabályok ellenırzése és betartatása Auditálhatóvá teszi a szabályok betartását 3 4 1 Privacy Manager 5 Policy Editor Jelentések készítés
Adatvédelem és hozzáférés kontroll folyamata Privacy Manager Monitor Firewall Tivoli Access Manager Firewall Application Data Store 1. Bob Milyen címe adatvédelmi szabályt WebSeal: engedélyezett Bob? Alice 1. Ki vagy? 2. (authentication) Lépj Milyen lekérte be felhasználói Bob címét WebSeal: a csoportba marketing 2. Elérheted-e felhasználói tartozik email Alice? készítése AM ID = Alice Ezek a céljából, az adott portálra. felhasználók amit Bob AM Group = elérhetik Bob korábban alklamazást? címét? engedéylezett Marketing (authorization) Dept. 3. Az engedélyezett adatvédelmi szabály kitejed-e http a kérı request: alkalmazásra? Get Bob s 4. Bob engedélyezte-e Address az adott alkalmazás esetében az adatfelhasználást? Bob címe. Alice megkapta az engedélyt Bob címének lekérdezésére Access Manager Policy Server Megnézheti Alice Bob címét? DB kérés: Get Bob s Address Privacy Manager Policy Server
Biztonsági esemény és felhasználó viselkedés kontroll
F r e q u e n c y D o m a i n Event Class Frequency E v e n t C l a s s
SOA környezetek biztonsága
IBM Software Group Tivoli Tivoli software Mi a SOA modell? Business Componentization Az üzleti folyamatokat standardizált komponensekre bontjuk. CBM business components Service Oriented Architecture Egy olyan IT modell amely leképezi az üzleti komponenseket olyan együttmőködı IT alkalmazásokra, amelyek dinamikusan, egymásnak szolgáltatásokat nyújtva, és azokat igénybe véve mőködnek. Web Services Egy olyan szállító független standard csomag, amely használható SOA komponensek együttmőködésének, kapcsolatának felépítésére. SOA application components * (XML, SOAP, WSDL, UDDI) provide an interface toolkit for components Business components SOA components Service Interactions 54
Service Consumer Service Provider consumers business processes process choreography Services services(definitions) atomic and composite Service components IBM Software Group Tivoli Tivoli software SOA Security az IT biztonság minden aspektusát átfedi Operational systems ISV Unix Packaged SAP Packaged Application Application Outlook Platform SCA Portlet WSRP B2B Other OS/390 Custom OO Custom Application Application Application Custom Apps Supporting Middleware MQ DB2 55 44 33 22 11 SOA Security Services Identitás menedzsment Azonosítás Autorizáció Bizalmasság, teljesség Rendelkezésre állás Audit & és megfelelıség Adminisztráció és házirend menedzsment 55
IBM Software Group Tivoli Tivoli software SOA környezetek biztonsági aspektusai I Mind a Transport mind Message réteget védeni kell: Transport réteg általában pont- pont tipusu, SSL tipikusan A Message réteg end to end, azaz szolgáltatások között! Web services általában pont szintet támogatnak: end az igazán fontos! Confidentiality, Integrity, Availability Tipikusan Transport rétegen, SSL/TLS A Message rétegen is szükséges hasonló technikák használata. Azonosítás Nem feltétlenül csak a valódi felhasználót kell azonosítani. Valószínőleg inkább szerepkörökön, csoport-tagságokon alapuló jogosultság kezelés kell. 56
IBM Software Group Tivoli Tivoli software SOA környezetek biztonsági aspektusai II Azonosítás A végfelhasználó azonosítása mellett: Biztosítani kell a külsı -Trusted - forrásból származó azonosításelfogadását. Ezek az azonosítók mint tokenek utaznak az üzenetekkel. Authorizáció A kérelmezı azonosítása, jogosultságai identitása, kérelme, alapján. Több pontos is felépíthetı, nagy felbontásban. Auditing Az egypontos bejelentkezés, az üzleti integráció, a hozzáférés egyre egyre nagyobb köre mind az audit fontosságát erısíti. Ez az audit adatok szempontjából mind mennyiségi, mind minıségi követelményeket támaszt. 57
IBM Software Group Tivoli Tivoli software Hosszú távú adatmegırzés 58
IBM Software Group Tivoli Tivoli software Egy korszerő mentırendszer követelményei: Duplikátum menedzsment Hierarchia menedzsment Média menedzsment Compress? Enterprise class Mid-range Encrypt? Low-cost Automated Manual WORM WORM WORM Jogszabályi megfelelıség Adat - biztosítás menedzsment 59
IBM Software Group Tivoli Tivoli software Mentés és Archiválás: Tivoli Storage Manager Administration User Interface WEB Local Area Network Log Servers, Clients, Application systems Storage Area Network Database Storage Repository TSM Clients TSM Server TSM Stgpools 60
IBM Software Group Tivoli Tivoli software A JIC Információ születése Just In Case ha esetleg kell... Az adat túléli a médiát! magas Hozzáférések számossága Tipikusan 2-8 hónap alacsony 100+ Év 50 Év 20 Év 5 Év 3 Év 2 Hónap 1 Nap 1 Óra Megırzési idı Source: Cohasset Associates, Inc. 61
IBM Software Group Tivoli Tivoli software Adatmegırzési szabályok Célja az elıírásoknak megfelelı adatmegırzési kötelezettség illetve adatmegsemmisítés biztosítása Védi az adatokat a beállított megırzési idı elıtti törlés ellen Adat-menedzsmentet végez megırzési és adatlejárati eljárásokon keresztül Lehetıséget biztosít az optimális tárolóterület és eszköz használathoz a széles támogatott eszközválasztékával Archiválási funkciók: Elıre definiált megırzési idı (Chronological Retention time policy): Az objektumokat egy elıre meghatározott ideig pld. 3. évig meg kell ırizni Esemény alapú megırzés ( Event-based retention protection): A megırzési idıszak egy eseménytıl függ pld. életbiztosításnál a biztosított halála után 70 évig, Törlés tiltás, engedélyezés (Deletion Hold / Release): Bizonyos állományok esetében a törlés felfüggesztve pld. egy bírósági eljárás végéig. Content Managers Archive Manager API Day 0 Data stored in Archive Manager Server Minimum retention API Hold issued API Event issued Retention period after event occurs API Release issued X Automated Expiration Data deleted from Archive Manager 62
Köszönöm a figyelmet! Kérdések? Kocsis Zsolt zsolt.kocsis@hu.ibm.com