Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.

Slides:



Advertisements
Hasonló előadás
Magyarország – Szlovákia határon átnyúló együttműködési program
Advertisements

ÚMFT – a foglalkoztatás növeléséhez kapcsolódó hazai és EU-s források elérése mikro-, kis-, és középvállalkozások részére.
Az elektronikus közigazgatási rendszerek biztonsága
IMIR monitoring és információs rendszer
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
"Free phone" Kozellné Szabó Csilla Ozeki Informatikai Kft.
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Mobil e-ügyintézési rendszer kifejlesztése
Önkormányzati informatika ASP alapokon
Beruházási projektek dokumentációja
Rendszertervezés GIMP.
Alapfogalmak: pályázás •A pályáztató által meghirdetett előnyökhöz való hozzájutás céljából, meghatározott célú és feltételek szerinti írásos ajánlat benyújtása.
Technológiai fejlesztés a hatékony ellátás szolgálatában
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
A stratégiai tervezés módszertana
Nemzeti Rehabilitációs és Szociális Hivatal
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
RENDSZERINTEGRÁLÁS B_IN012_1
Jogában áll belépni?! Détári Gábor, rendszermérnök.
E-NAPLÓ Szabó László.
Az egészségügy finanszírozásának informatikája
A pályáztatási eljárás általános bemutatása, kiemelt projektek Czégér Zsuzsanna főosztályvezető KvVM FI KEOP KÖZREMŰKÖDŐ SZERVEZET Székesfehérvár 2007.április.
Alapfogalmak: pályázás A pályáztató által meghirdetett előnyökhöz való hozzájutás céljából, meghatározott célú és feltételek szerinti írásos ajánlat benyújtása.
Az ETR technológia DEXTER Informatikai kft..
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
Nagyvállalati projektmenedzsment GTM szeminárium sorozat Microsoft Project Server 2003 Egyedi projekt alkalmazások: pályázatok, beruházások kezelése a.
Orvos szakmai programok illeszkedése az ágazati célkitűzésekhez „Építészet a Gyógyulásért 2010-Európai Uniós támogatással” konferencia.
Szoftvertechnológia Rendszertervezés.
Bevezetés az ebXML-be Forrás: An Introduction to ebXML ebXML and Web Services Practical Considerations In Implementing Web Services Romin IraniRomin Irani.
Az IKTA/ számú pályázat alapján: Ügyfélbarát ügyintézést támogató informatikai rendszer prototípusának kialakítása (Elektronikus Polgármesteri.
TÁMOP szakmai támogatás Educatio Nonprofit Kft
2009. december 8. Pomázi Gyula SZTE felsőoktatási stratégiai szakértő
Adattár Alapú Vezetői Információs Rendszer Központi program (online) szolgáltatásai az intézményeknek december 8. Horváth Tamás felsőoktatási igazgató.
Informatikai döntéstámogatás az MVM-nél
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
EU-s pályázatok írása és módszertana
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
Szántó Tamás elnökhelyettes PMISZK
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Mentorhálózat a A-11/1 pályázatban A-11/1 „Bentlakásos intézmények kiváltása” Információs nap Budapest, március 1.
Projekt tervezés és megvalósítás. Az üzleti projektek és a támogatási rendszer április 20.

©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
A Közigazgatási és Igazságügyi Minisztérium EKOP projektjeinek jelene és jövője dr. Rupp Zoltán főosztályvezető E-közigazgatásért felelős helyettes államtitkárság.
Müller László vezető fejlesztő EQL Soft Informatikai és Tanácsadó Kft.
Önkormányzati ASP központ felállítása projekt összefoglaló EKOP
2012.FEBRUÁR FEBRUÁR 20-IG!!!. Árajánlat kérése, nemzetközi közösségi weboldal kivitelezésére: Funkciók: - Tag/1-1 kép feltöltése - Min. adatok.
4/7/2017 StorSimple: A felhő-integrált tároló Windows Server 2012 R2 konferencia © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows,
CALDERONI FORRÁSKEZELŐ RENDSZER A Calderoni Program során fejlesztésre kerülő rendszer vázlatos bemutatása.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
CALDERONI FORRÁSKEZELŐ RENDSZER A Calderoni Program során fejlesztésre kerülő rendszer vázlatos bemutatása.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala
"Free phone" Kozellné Szabó Csilla Ozeki Informatikai Kft.
Tűzfal (firewall).
avagy a zártság dilemmái
Kommunikációs káosz Telefon, hangposta, fax, , azonnali üzenetek Túl sok eszköz, túl kevés idő Kommunikációs káosz Telefon, hangposta, fax, ,
BIRDIE Business Information Reporter and Datalyser Előadó: Schneidler József.
Egy termék tanúsítása — tapasztalatok és következtetések Vágujhelyi Ferenc.
Nagyvállalati dokumentumkezelés 2. Fejér Gábor PYLON KFT DMS megoldás nyílt forráskódú környezetben – az XDocs rendszer.
Az önkormányzati ASP rendszer jegyzői szemmel Dr. Vincze Ferenc címzetes főjegyző Hajdúszoboszló Város Önkormányzata Pajna Sándor vezérigazgató eKÖZIG.
Biztonsági követelmények a beszállítókkal szemben
Elektronikus dokumentumkezelés
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Barcsák Marianna KPSZTI
Az ÁFSZ minőségirányítási rendszerének kialakítása
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.

Bevezetés A Magyar Köztársaság elektronikus közigazgatási rendszere az elmúlt években folyamatosan fejlődött ben jelentős EU források állnak rendelkezésre a további fejlődéshez Pontosan lehet követni a fejlesztési tendenciákat tavaszán megjelent az az ajánláskötet, ami definiálja a fejlesztési követelményeket

Az e-közigazgatási rendszer felépítése Forrás: KIB 21. ajánlás

Az e-közigazgatási rendszer felépítése Forrás: KIB 28. ajánlás

Fejlesztési irányok A cél tehát az e-közigazgatási sín kialakítása Az eszköz pedig a szolgáltatás-orientált architektúra, és az azon elérhető web service-ek A web service interfészeket a csatlakozó alkalmazások fejlesztői definiálják Központi szolgáltatások: Szolgáltatáskatalógus Tokenszolgáltató Hitelesítésszolgáltató E-tár Ügyfélkapu Naplózási szolgáltatás

Biztonsági feladatok Az ajánlás szerint foglalkozni kell: Az állampolgárok személyiségi és adatvédelmi jogaival (megfelelő authentikáció és authorizáció), A szolgáltatások biztonságával (titkosítás, erős authentikáció), Az e-közigazgatási közmű biztonságával (jogosultságmenedzsment, naplózás) Egy csatlakozó szervezetnek tehát minimálisan meg kell oldania: Az erős authentikáció megvalósítását A tokenszolgáltatóhoz történő integrációt A PKI alapú működést (pl. SSL/TLS) A belépést a központi jogosultságmenedzsment rendszerbe A naplóadatok automatikus vagy manuális kiadását

IT biztonsági a pályázat szemszögéből 1.Pályázati felhívás (projekt megfogalmazásakor) összeállításakor be kell építeni azokat a megvalósítandó feladatokat, amelyek garantálják a biztonsági követelmények kielégítését. Pályáztató feladata 2.A pályázat kötelező elemévé kell tenni a biztonság megvalósításához szükséges erőforrások tervezését a pénzügyi keret tervezésékor. Pályáztató feladata 3.A projekt monitoring követelményeiben szerepeltetni kell a biztonsági indikátorokat és azok rendszeres jelentését kötelezővé kell tenni. Pályáztató feladata 4.A pályázatok elbírálásakor az IT biztonsági követelményekre vonatkozó elvárásokat meg kell jelentetni és megfelelő súllyal kell az elbíráláskor, a támogatás odaítélésekor figyelembe venni. Elbíráló feladata 5.A finanszírozási, támogatási szerződésben meg kell jelentetni a biztonságra vonatkozó követelményeket és a be nem tartáskor alkalmazandó szankciókat. Támogató feladata 6.A pályázati anyag összeállításakor figyelembe kell venni a kiírásban megjelent követelményrendszert. Pályázó, projektgazda feladata

IT biztonsági a pályázat szemszögéből 7.A megvalósítás tervezésekor be kell tervezni a biztonságra vonatkozó követelmények megvalósítását is. Pályázó, projektgazda feladata 8.Implementációs munkák során meg kell valósítani a biztonságra irányuló követelményeket, funkciókat. Pályázó, projektgazda, implementációt végző feladata 9.Az eredmények átvételekor, rendszer élesítéskor csak a biztonsági követelményeket igazoltan kielégítő rendszert szabad élesbe állítani. Pályázó, projektgazda, átvevő feladata 10.A támogatási összeg folyósítása előtt meg kell győződni a biztonságra vonatkozó követelmények érvényesüléséről. Felügyelő, támogató, projektgazda feladata 11.A megvalósított biztonsági szint fenntartása érdekében biztonsági rendszert kell üzemeltetni. Pályázó, projektgazda feladata

IT biztonság a fejlesztés szemszögéből Forrás: KIB 28. ajánlás

Vagy ahogy az USA-ban elképzelik... Forrás: NIST SP

Vagy ahogy az USA-ban elképzelik... Forrás: NIST SP

Vagy ahogy az USA-ban elképzelik... Forrás: NIST SP

Web service fenyegetések Az ajánlások nagyon keveset foglalkoznak a SOA környezetből adódó fenyegetésekkel Annak ellenére, hogy szoftver oldalról ez tűnik a leggyengébb láncszemnek A fő veszélyforrás az, hogy komplex, egymástól függetlenül fejlesztett rendszerek integrálódnak webes technikákkal, sokszor a nyílt interneten keresztül elérhető interfészekkel, melyek sokszor érzékenyek a sokak által ismert támadásokra

Web service fenyegetések Kliens oldali fenyegetések: Ajax komponensek (pl.XSS, cross-site Request Forgery, Cross- Domain támadások) Sérülékeny böngészők Struktúra szintű fenyegetések: XML Node manipulálás (SQL injection, távoli kódvégrehajtás, XSS, parserek támadása) Protokoll szintű fenyegetések: A protokoll fejlécének és tartalmának manipulálása Szerver oldali fenyegetések Az alkalmazás szervert érintő támadások (pl. Buffer overflow) Alkalmazás hibák (pl. hitelesítési, jogosultsági, beszúrásos, rendelkezésre állási, sessionkezelési, és adatszivárgási hibák)

E-közigazgatási aktorok Humán ügyfél: egy nevesített személy küld ben vagy weboldalon keresztül üzenetet, és ezeken a felületeken tud üzenetet is fogadni. Humán ügyintéző: olyan köztisztviselő, aki ben vagy weboldalon keresztül tud üzenetet küldeni és fogadni. Ügyfélkapu: a Hivatali Kapun keresztül tud üzeneteket küldeni és fogadni. Kliens alkalmazás: olyan, közigazgatásilag nem kontrollált alkalmazás, mely humán szubjektumhoz nem feltétlenül köthető módon küld és fogad üzeneteket, pl. web service interfészen keresztül. Közigazgatási alkalmazás: olyan, közigazgatásilag kontrollált alkalmazás, mely humán szubjektumhoz nem feltétlenül köthető módon küld és fogad üzeneteket, pl. web service interfészen keresztül.

Kommunikációs irányok

Javasolt védelmi intézkedések Humán ügyféltől származó üzenet: Input validálás programozott módon vagy eszköz felhasználásával Erős authentikáció Humán ügyintézőtől származó üzenet: Erős authentikáció Josultsági rendszer Felelősségek szétválasztása Naplózás Ügyfélkaputól származó üzenet: Formátumellenőrzés

Javasolt védelmi intézkedések Kliens alkalmazástól származó üzenet WS-Security használata Formátummegkötés Adminisztratív szabályok KIB 25. szerinti tanúsítás Közigazgatási alkalmazástól származó üzenet KIB 28. megfelelőség Örökölt rendszereknél speciális web service használata

Összefoglalás A SOA környezet biztonsági szempontból különös figyelmet érdemel Megjósolható, hogy a körültekintő tervezés, implementálás és üzemeltetés mellett is lesznek biztonsági incidensek, ami a SOA-ra vezethető vissza Ezért ne csak a preventív, hanem a detektív és korrektív védelmi intézkedések is kapjanak fontos szerepet!

Köszönöm.