Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Datové schránky „ante portas“. tak „Nepropadejte panice!“

Podobné prezentace


Prezentace na téma: "Datové schránky „ante portas“. tak „Nepropadejte panice!“"— Transkript prezentace:

1 Datové schránky „ante portas“

2 tak „Nepropadejte panice!“

3 Hlavní služby ISDS Co systém je versus co systém není! –Identifikace subjektů pro doručování –Příjem a zaručené doručování zpráv –Záznam veškeré manipulace se zprávami –Dlouhodobá právní prokazatelnost –Nepopiratelný institucionální archív –Důvěrnost, integrita a vysoká dostupnost

4 Bezpečnostní koncept ISDS

5

6 Kde se bezpečnost odehrává?

7 Vnitřní bezpečnost ISDS Důsledné oddělení rolí na všech úrovních Formát datové zprávy obsahující metadata Silné šifrování, nepřístupnost schránek Dokonalá ochrana osobních údajů i obsahu Časově neomezená prokazatelnost úkonů Účinná opatření proti aplikačním útokům Fyzická bezpečnost, personální opatření

8 Formát datové zprávy ZFO jako formát zprávy –Digitálně podepsaný, časovým razítkem označený, veřejný XML formát –K jeho ukládání slouží 602XML Filler plug-in ZFO jako formát souboru –Souborový formát pro 602XML Form Server –De fakto ZIPované XML (proprietární formát společnosti Software 602)

9 Archivace v datovém trezoru Uživatel splňuje některou z následujících charakteristik: –Malý rozpočet, nezvládá archivační řešení –Preference provozních nákladů před investičními –Žádná nebo velmi jednoduchá lokální síť –Pouze základní vybavení technologií –Využívání externích IT kapacit Typickým uživatelem datového trezoru je OSVČ, fyzická osoba, menší firma nebo menší OVM

10 Takhle to u Vás asi nevypadá…

11 A takhle bychom to jednou rádi…

12 Tenký klient, proč plug-in? Účelem filleru není číst formuláře, ale především ukládat zprávy ve správném formátu pro „institucionální archivaci“

13 Bezpečná architektura

14 Definovaná rozhraní ISDS

15 Přihlašování do ISDS

16 Doporučené připojení k portálu Použití komerčního certifikátu pro přístup –Uložení v technickém prostředku Příklad: IronKey Personal S200 HW šifrování AES 256-bitů Kapacita až 16GB Čtení 30MB/s – zápis 28MB/s Vzdálená správa Aktivní obrana proti kódům

17 Proč FIPS Level 3? HW šifrování AES 256-bit v „Cipher Block Chaining“ módu –Než je blok čistého textu šifrován, je zkombinován se šifrovaným textem předchozího bloku –Automatická ochrana souborů, není instalován žádný software Bezpečnostní úroveň 3 podle FIPS –Znemožňuje falšování a pokusy o něj činí ihned zcela zjevnými –Čip je zcela zalit v plastovém pouzdře, USB je vodotěsný, vyrobený z jediného kusu hliníku –Šifrovací klíče s "rodí" přímo v kryptočipu a jsou s ním pevně spojeny –Šifrovací klíč je schopen sám sebe zničit a je elektromagneticky stíněn –Pracuje jak na Windows 2000, XP a Vista, tak i Linux a Mac OS Aktivní obrana před nebezpečnými kódy –Ochrana funkce AutoRun, včetně speciálního zabezpečení před AutoRun červy –Lze otevřít pro čtení tak, že nebezpečný kód na PC ho neumí identifikovat –Omezení pouze na důvěryhodnou síť, zařízení nelze připojit k nekontrolovaném PC –Volitelné rezidentní skanování proti virům (uvnitř klíče) Vzdálená správa bezpečných úložišť –Špičkové schopnosti správy, včetně vymáhání politik, samoobslužné obnovy hesel nebo vzdáleného zničení dat

18 Doporučené připojení ESS/HSS Vzdálená správa úložišť certifikátů Zničení ukradených či ztracených Připojení výlučně k podnikovým PC Virtuální desktop pro vzdálené uživatele

19 Antiphishingová opatření Prokazujeme se systémovým certifikátem ové notifikace jsou podepsány Notifikační servery mají nastaveno SPF Připravujeme implementaci DNSSEC Všechny zprávy mají vzor v dokumentaci Informace o posledním přihlášení k systému Vzdělávání uživatele (antiphishingová hra)

20 Bezpečnost prohlížečů Použití zvláštních technik ochrany cookie Všechny bezpečnostní parametry cookie Ochrana proti přihlašování se skriptem Příprava k nasazení softwarové klávesnice Portálové cookie nelze použít pro WS Bezpečnostní opatření proti XSS, CSRF… Digitálně podepsaný plug-in 602XML Filler

21 Aplikace 3. stran Základní požadavky na ESS/HSS a další: –Žádné ukládání přihlašovacích údajů (§9 Z) –Certifikáty v technických prostředcích (§2 V) –Doporučujeme použití standardního keystore –Vizuální kontrola při vkládání certifikátu –Šifrovaná komunikace aplikace s klientem –Design aplikace založený na analýze rizik –Zveřejnění zdrojového kódu klientské části

22 Zajímavý tip pro Vás

23 Odstranění rizika phishingu

24 Žádné ukradené relace

25 Eliminace M-i-M útoků

26 Odstranění phishingové pošty Reaguje na skutečnost, že všechny e- mailové notifikace ISDS jsou digitálně podepsány a odchozí server má nastaveno SPF: –Odstraní y bez platného podpisu –Odstraní y s jinou než definovanou trasou doručení (obálka vs. zpráva)

27 Autoritativní DNS

28 Kontakt Radek Smolík Bezpečnostní architekt


Stáhnout ppt "Datové schránky „ante portas“. tak „Nepropadejte panice!“"

Podobné prezentace


Reklamy Google