Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s. 29.3.2004.

Slides:



Advertisements
Podobné prezentace
Webové rozhraní pro přístup k databázi JIS Václav Lederbuch
Advertisements

Podpora personálních procesů v HR Vema Jaroslav Šmarda
© 2000 VEMA počítače a projektování spol. s r. o..
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Přednáška č. 5 Proces návrhu databáze
PC SÍTĚ I.
Integrace aplikací s využitím komunikačního serveru Vema
METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.
Přínosy virtualizace a privátního cloudu
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Global network of innovation e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.
© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.
, InforumJiří Šilha, LANius s.r.o. Nové možnosti komunikace knihovních systémů firmy LANius s.r.o. Client-server varianta systému CLAVIUS ®
Softwarové zabezpečení serveru
METROPOLITNÍ PŘENOSOVÝ SYSTÉM
pit – CAD 2011 Nové funkce a rozšíření Strana: 1www.pitsoftware.cz /
Řízení přístupových práv uživatelů
Zlín - květen 2006 Regionální knihovní systém Clavius REKS firma LANius s.r.o.
„ EU peníze školám“ Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov reg.č. CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím.
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Slide 1 A Free sample background from © 2003 By Default! Jiří Kůsa Testování propustnosti síťového firewallu.
Seminář 8 VLAN routing Srovnání směrování tradičního a VLAN routingu
Projekt ELIŠKA Centrální registr řidičů
Počítačové sítě Architektura a protokoly
Protokol TCP/IP a OSI model
Univerzální přípojka koncepce a realita Miroslav 30.březen 2004.
Datové schránky ve velké společnosti SharePoint partenrská konference Microsoft Pavel Salava Mainstream technologies,
Novinky a strategie společnosti Vema, a. s.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Rozšíření jednouživatelské verze IS na víceuživatelskou Prezentace Diplomové práce Autor : Libor Tomášek Spoluautoři : Pobucký M., Drábek L. Vedoucí :
Tomáš Urych, ESO9 Intranet a.s.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
Automation and Drives A&D AS Tomáš Halva Strana 1 (C) Si emens AG, 2002, Automation & Drives EK SIMATIC S7-200 SIMATIC S7-200 Komunikační procesor pro.
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.
1 iptelefonie denis kosař. 2 obsah Co je ip-telefonie Jak to funguje Protokoly Kodeky Jak to použít Skype Zdroje.
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
CIS Cizinecký informační systém
2 Ing. Jan Keprt Centrální správa uživatelů 3 Jak to bylo dosud Bylo třeba nastavení uživatelů provést zvlášť, v každém modulu samostatně. Uživatel si.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Tiskové služby v sítích Microsoft
Realizační tým ICZ duben 2005
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Pilotní projekt Ústřední evidence podnikatelů – RŽP ISSS 2004 Hradec Králové Ing. Jan Pokorný odbor projektů životních situací.
Technické řešení PostSignum QCA
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
IEC 61850: Soubor norem pro komunikaci v energetice
Business Consulting Services © 2005 IBM Corporation 9. ICT Forum, Praha Elektronická daňová správa Klientský přístup k daňovým subjektům.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Historie počítačových sítí Co je to síť Důvody vzájemného sdílení zařízení Co je to rozhraní (interface) a protokol Historicky standardní rozhraní PC.
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Vypracoval / Roman Málek
as4u advanced system for you
Virtuální privátní sítě
TELNET, FTP.
Přednášky z Distribuovaných systémů
Transkript prezentace:

Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s

2 Agenda Úvod Popis architektury Poskytovaná funkcionalita Příklad použití

3 Potřeba nové architektury Protichůdné požadavky: Aplikační  Umožnit přenos dat mezi systémy  Komunikovat Bezpečnostní  Zachovat oddělenost jednotlivých systémů  Nepropojit Současné řešení:  Přenos fyzickým transportem datových médií  (BOB)

4 BOB versus Datová média

5 Plně rozdělené prostředí  Žádné průchozí spojení  Žádná aktivita z BOB do LAN  Nemožnost kompromitující konfigurace

6 Začlenění BOB Firewall Vysoká propustnost Nízká latence Bez časového omezení Filtrace standardních komunikačních protokolů Rizika průniku Rizika chyb konfigurace Datová média Omezená propustnost Vysoká latence Závislost na přítomnosti obsluhy Přenos dat v obecných datových souborech Zachování oddělenosti sítí Rizika chyb obsluhy BOB

7 Funkční cíle zařízení Umožnění výměny datových souborů mezi oddělenými sítěmi:  Nahrazení fyzického přenosu datových médií  Spolehlivý audit, neodmítnutelnost  Automatická archivace přenášených dat  Interaktivní a automatizované přenosy  Prioritizace a časování přenosů  Multiuživatelský návrh

8 Co BOB neposkytuje Funkce prokázání původu dat Funkce zajištění integrity dat Jakékoliv síťové služby směrem do připojených sítí Kontrolu obsahu přenášených dat Antivirovou kontrolu …

9 Základní pravidla návrhu Pravidlo technologické rozmanitosti  Zařízením „neprolíná“ žádná technologie Pravidlo nedůvěry  Žádný bezpečnostní mechanismus není považován za zcela spolehlivý Pravidlo násobných mechanismů  Každý bezpečnostní mechanismus je znásoben na principu technologicky odlišné realizace

10 Dělená architektura

11 Rozdělená administrace Každý blok BOB je pod úplnou správou pouze odpovídající autority  Fyzické zabezpečení Každý blok nabízí tři administrátorské role  Správce hraničního směrovače  Správce operačního systému předávacího serveru  Správce aplikace uživatelského rozhraní Omezení administrace  V provozním módu lze systém pouze monitorovat  V módu administrace nelze spouštět moduly BOB  Vynucený restart po ukončení administrace

12 Přenosové fronty BOB LAN A LAN B Blok “A”Blok “B” BOB Uživatelské rozhranní Přenosový subsystém Uživatelské rozhranní Přenosový subsystém A B IN C :::: X A B OUT C :::: X A B IN C :::: X A B OUT C :::: X

13 Průchod dat přes BOB

14 Bezpečnostní mechanismy BOB Přístupové (uživatelské rozhranní) Umožnit přenos dat pouze oprávněným entitám Implementovány více technologiemi Využití více mechanismů Oddělovací (přenosový subsystém) Zamezit průniku z jedné sítě do druhé Využití více technologií Využití více mechanismů Nesdílet jedno prostředí

15 Funkce zajištění integrity Integrita systému- při startu serveru  Start pouze z CDROM  Přeformátování pracovních disků  Vytvoření adresářů z archivu na CDROM Integrita procesů- při startu procesu  Smazání pracovních adresářů  Prověření konfiguračních souborů  Prověření obsahu konfiguračních adresářů  Dostupnost potřebných modulů

16 Certifikační autority BOB Dedikované off-line CA pro BOB Na každé straně BOB existují dvě root CA Způsob ověřování  pouze platnost Možnost okamžité dočasné revokace klientského certifikátu bez úpravy CDROM

17 Model CA BOB

18 Možnosti přístupu uživatelů Interaktivní režim – WWW browser Dávkový režim –program Win32 (command line interface) Přímý přístup z uživatelských aplikací (prostřednictvím definovaného rozhraní ) Model dvou nezávislých CA (CA serverů a CA klientů BOB) Šifrovaná komunikace (128bit)

19 GUI BOB

20 Přenosové rozhraní BOB Komunikační rozhraní Definováno nad protokolem HTTPS Funkce: Odeslání souboru Příjem souboru Přesun souboru Výmaz souboru Informace o frontě IP TCP SSL HTTP BOB Standardní knihovny APV

21 Automatizovaný klient BOB Příklad využití rozhraní BOB Řádková aplikace pro Win32 Rozdělení odesílání a příjmu – 2xEXE Konfigurace z příkazové řádky nebo konfiguračního souboru Vynucené logování činnosti Nedovolený přepis existujících souborů Návratové kódy, logy a standardní výstup signalizují výsledek operace

22 Příklad použití BOB(1)

23 Příklad použití BOB(2)

24 Příklad použití BOB(3)

25 Základní charakteristiky Průchodnost 2 x 1,3MB/s 2 duplexní nezávislé přenosové linky 2 typy front 10 úrovní priorit pro každou frontu 5 časových intervalů přenosu souborů ve frontě 2 parametry omezení velikostí souborů fronty 2 typy přístupu uživatelů Volitelná archivace Možnost přepisu při uploadu 2 typy uživatelů Individuální konfigurace uživatel X fronta 4 typy přístupů uživatelů ke každé frontě 2 časová omezení přístupu uživatelů Přenos souborů do velikosti 100MB Připojení do libovolné IP sítě Průměrná latence 1min

Děkujeme za pozornost Libor Kratochvíl Bezpečnostní architekt ICZ a.s.