Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře.

Podobné prezentace


Prezentace na téma: "Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře."— Transkript prezentace:

1 Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře

2 Personalis 2006 Tendence IS: změna architektury Již několik let lze sledovat přechod informačních systémů – včetně PIS - k vícevrstvé architektuře (VVA), která odděluje prezentční, aplikační a datovou vrstvu informačního systému. Přechod na vícevrstvou architekturu tvoří jedinečnou příležitost k lepšímu návrhu celého systému a jeho bezpečnosti!

3 Personalis 2006 Ekonomické a organizační důvody pro VVA  Centralizace agend společnosti. Stále vyšší počet a provázanost agend a aplikací vede k nákladné a obtížné „orchestraci“. Řešením je konsolidace aplikací a dat na omezený počet nebo dokonce jedinou aplikační a datovou infrastrukturu, která musí být dotupná z každého místa.  Snaha větších společností k vyvedení části, nebo celé infrastruktury IT (outsourcing, různé modely)  Rozšíření internetových aplikací a tendence k vytváření intranetových aplikací na podobných principech. Běžně používané technologie - HTTP, HTML, skripty, prohlížeč...- k tomuto účelu nebyly navrženy a nejsou vždy vhodné!  Vyšší hodnocení společnosti, která používá moderní systémy  Zadavatelé veřejných obchodních soutěží vyžadují vícevrstvou architekturu a web technologie

4 Personalis 2006 Technické předpoklady VVA  Běžná dostupnost rychlých datových komunikací  Významný pokles cen škálovatelných serverů, založených na výkonných a dostupných 64 bitových procesorech a OS  Dostupnost „hostingových“ center  Zralá platforma pro vývoj a provoz vícevrstvých aplikací – J2EE,.NET  Rozvoj SOA – architektury orientované na poskytování služeb v síti  Dostupnost kryptografických prostředků a standardních protokolů

5 Personalis 2006 Bezpečnostní aspekty VVA Z hlediska bezpečnosti přináší VVA nové možnosti, ale i nová rizika. Hlavním potenciálem je definovatelná a zaručitelná úroveň bezpečnosti centrálního systému ve srovnání s obtížně zaručitelnou bezpečností lokálních nebo distribuovaných systémů

6 Personalis 2006 Chráněná aktiva PIS  Ochrana osobních údajů vyžadovaná legislativou  Ochrana informací uvnitř společnosti  Dostupnost systému  Důvěryhodnost, integrita a úplnost informací

7 Personalis 2006 Vybraná bezpečnostní rizika PIS ve VVA  Komunikace v nedůvěryhodném prostředí  Internet  veřejná datová síť  intranet  Riziko ztráty dostupnosti  jediný bod selhání  DoS  Náročné vyhledání zdroje a místa problému  Riziko neoprávněného přístupu k informacím  data jsou soustředěna na jednom místě  data mohou být pod kontrolou třetí strany  na aplikační server není delegována autentizace uživatelů vůči databázi

8 Personalis 2006 Vybrané ochranné mechanismy a opatření Strukturovaná bezpečnost, aplikovaná na více úrovních  Fyzická a personální bezpečnost centrálních aplikačních, infrastrukturních a databázových systémů  Autentizace, autorizace, audit  Kryptografické prostředky  Bezpečné komunikační kanály  Aplikační brány  Systémy pro detekci průniku  Záložní systémy, klastry

9 Personalis 2006 Bezpečnost VVA - Aplikační infrastruktura Platforma J2EE je určená pro serverové aplikace, skládá se ze (serverové) prezentační, aplikační a datově objektové vrstvy.  Přenositelnost na přiměřeně bezpečný systém – hostitelský OS a aplikační server  Často je k dispozici zdrojový kód (vlastní prostředí JRE, aplikační server, open source knihovny) – kontrola, oprava chyb, úprava  Kód aplikace je interpretován, nepoužívají se některé nebezpečné mechanismy a přístup k nativním rozhraním

10 Personalis 2006 Bezpečnost VVA - Aplikační server  Aplikace je fyzicky oddělena od uživatelů a většiny potenciálních útočníků  Lze zajistit a vynutit vyšší fyzickou a personální bezpečnost  Aplikace je centrálně konfigurována  Záznamy bezpečnostních událostí a dohled  Reakce na chyby, incidenty a bezpečnostní požadavky, odpadá plošná instalace opravných a nových verzí

11 Personalis 2006 Bezpečnost VVA - Centrální databáze  V případě více lokalit organizace (vzdálené pobočky) odpadá replikace nebo sehrávání databází (export + import), které je bezpečnostním rizikem  Bezpečnější regulérní záloha a obnova databáze  Bezpečné uložení záloh  Jediné připojení k databázi

12 Personalis 2006 Bezpečnost VVA – další technologie  „Zralá“ platforma J2EE v komerčních i „open source“ produktech  Standardní protokoly a schémata pro silnou autentizaci a zaručený elektronický podpis  Bezpečná komunikace (SSL/TLS, VPN)  Kryprografické prostředky (HSM, SAM, čipové smart karty)

13 Personalis 2006 OKbase – bezpečný PIS ve VVA OKbase je originální české programové vybavení pro komplexní správu lidských zdrojů a podporu administrativní práce úřadu nebo podniku. Cílem návrhu a implementace OKbase je splnit funkční, technické, ekonomické a bezpečnostní požadavky na moderní PIS, zejména v segmentu správních úřadů, institucí veřejné správy a malých a středních podniků. Nová generace (VVA) navazující na osvědčené programové systémy OKmzdy a OKinfo (C/S)

14 Personalis 2006 OKbase OKbase využívá vícevrstvou architekturu (VVA), která odděluje datovou, aplikační a prezentační vrstvu. Aplikační programové vybavení je instalováno na aplikačním serveru, na PC uživatelů je umístěn pouze sofistikovaný prezentační software (VVA klient) nebo webový prohlížeč. Použitá architektura a platforma Java umožňuje přenositelnost klienta, aplikačního serveru i databázového serveru na různé platformy, škálovatelnost aplikace a efektivní údržbu.

15 Personalis 2006 Funkčně bohatý VVA klient VVA klient založený na platformě Java poskytuje bezpečné a komfortní prostředí pro profesionální uživatele, při maximální efektivitě datových přenosů mezi klientem a aplikačním serverem.  Klient neobsahuje žádný kód pro řízení aplikace, ani neumožňuje jej instalovat  Klient obsahuje pouze ty komponenty, které jsou vyžadovány konkrétní aplikací  Součástí systému je automatická instalace a údržba prostředí VVA klienta s pomocí technologie Webstart.

16 Personalis 2006 Příklad implementace OKbase centrální úřad s pobočkami

17 Personalis 2006 OKbase – některé použité bezpečnostní prvky  Autorizační systém využívá mechanismy uživatelských a účelových skupin, rolí a organizační struktury společnosti.  Systém nabízí pouze akce, které je uživatel oprávněn provést a zobrazuje pouze data, která je uživatel oprávněn číst.  Řízení přístupů k funkcím je víceúrovňové, na nejnižší úrovni je vnuceno interceptory na úrovni servisní vrstvy  Autorizace a audit jsou konfigurovány při implementaci nebo vnuceny v kódu prostřednictvím anotací

18 Personalis 2006 Modulární koncepce systému OKbase tvoří funkčně propojené serverové aplikační moduly, které sdílí společnou databázi, organizační infrastrukturu a bezpečnostní koncepci systému. Modulární architektura umožňuje transparentní rozšiřování funkcí systému kdykoli po jeho instalaci, v souvislosti s růstem potřeb společnosti a rozšiřováním nabídky modulů.

19 Personalis 2006 Funkční moduly

20 Personalis 2006 Docházkový modul Docházkový modul je nástroj pro evidenci pracovní doby zaměstnanců. Aplikace umožňuje jednoduchou a účinnou formou evidovat odpracovanou dobu, příchody a odchody zaměstnanců, dovolené nebo překážky v práci a následně je vyhodnocovat, kontrolovat, podepisovat a schvalovat. Základem pro implementaci jsou konfigurovatelné aktivity, směnové kalendáře zaměstnanců, docházkové terminály, identifikační čipové karty a samoobslužný provoz.

21 Personalis 2006 Docházkový terminál

22 Personalis 2006 VVA klient – přehled docházky

23 Personalis 2006 www samoobsluha Samoobslužné funkce OKbase umožňují běžným zaměstnancům s použitím internetového prohlížeče prohlížet nebo opravovat docházku, plánovat dovolenou a udržovat aktuální stav vybraných personálních údajů - v souladu s přidělenými právy.

24 Personalis 2006 www samoobsluha – přehled docházky

25 Personalis 2006 Personální modul Personální modul je účinný nástroj pro optimalizaci využití lidských zdrojů organizace. Umožňuje evidovat a spravovat personální údaje o osobách v pracovněprávních vztazích (zaměstnancích nebo osobách ve služebních poměru), uchazečích o zaměstnání i bývalých zaměstnancích. Mezi základní funkce patří systemizace pracovních pozic, práce s organizačními strukturami, hodnocení zaměstnanců, evidence školení, zdravotních prohlídek a bezpečnostních pomůcek.

26 Personalis 2006 Personální modul

27 Personalis 2006 Systémový modul Systémový modul je základní součástí OKbase. Vytváří prostředí a poskytuje funkce pro běh všech modulů. Systémový modul je správcem konfiguračních parametrů, uživatelských práv a funkcí, zabezpečuje i základní funkce související s ochranou osobných údajů a dalších uložených dat.

28 Personalis 2006 Systémový modul

29 Personalis 2006 Dotazy, kontakt Ing. Ivo Rosol, CSc. ředitel vývojové divize OKsystem s.r.o.


Stáhnout ppt "Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře."

Podobné prezentace


Reklamy Google