Bezpečnost IS David Krch Solutions Specialist
IS Technolog. Fyzická Osobní Organizační Komplexní pohled na bezpečnost Technolog. IS
Co je nejdůležitější? Aplikační server Databáze Síť ? Aplikace? Hardware ? DATA ! Bezpečnost - KDO, KDY, KAM, CO?
Jak zajistit efektivní správu uživatelů?
Správa uživatelů – tradiční způsob PersonalistikaAplikace 2Aplikace 3 Databáze Správa uživatelů File server Správa uživatelů PC
Efektivní správa uživatelů Aplikace 2Aplikace 3 File server Databáze Oracle Internet Directory (LDAP) Správa uživatelů PC Personalistika Správa uživatelů Centrální správa uživatelů a rolí Vyšší přehlednost Rychlejší reakce Efektivnější správa
Který systém může být bezpečnější decentralizovaný nebo konsolidovaný ?
Komplexní systém „příliš“ mnoho klíčových prvků Distribuované aplikace, distribuovaná správa dat Bezpečnost Zajištěnídostupnosti UpgradeSoftware ArchitekturaNeprůhledná Ochrana pokročilými technologiemi Drahá Personální zajištěníSložité, spíše méně kvalitní FaktorStav Rychlost reakceMalá
Konsolidovaný systém Zálohy dat Zajištění dostupnosti UpgradeSoftware Globální přístup Aplikační Server Databázový Server Správa IS ArchitekturaPřehledná Ochrana pokročilými technologiemi Efektivní Personální zajištěníKvalitnější personál FaktorStav Rychlost reakceVysoká
Lze zajistit bezpečné oddělení dat uvnitř konsolidovaného systému?
Bezpečné oddělení dat různých subjektů v jediné tabulce SELECT * FROM ORDERS; WHERE cust_no = (SELECT cust_num FROM customers WHERE cust_name =USERENV(‘user’)) Organizace 1 Organizace 2 Organizace vidí pouze vlastní záznamy Tabulka Rozšíření běžných mechanismů řízení přístupu Řízení přístupu k datům na úrovni řádků tabulky Bezpečné oddělení dat uložených ve stejné tabulce Transparentní z hlediska aplikace
Oracle Label Security Option Řízení přístupu pomocí bezpečnostních štítků GUI pro správu – bez programování – Implementace ověřena certifikací Row Label User Label Scott Confidential : Strategic : Coalition Unclassified Secret Confidential TopSecret Confidential TopSecret „Financial : Nuclear : Strategic : Personnel : Strategic : Readiness : US : US, UK : Coalition : US, UK : Coalition : US Data Rows Levels Compartments Groups
Database Resource Manager – automatické řízení zdrojů Zajišťuje, že jedna skupina uživatelů/aplikací nemůže čerpat prostředky na úkor jiné skupiny Kvóty pro jednotlivé skupiny se mohou v čase měnit Různé metriky zdrojů – Maximum aktivních spojení – % využití CPU – I/O operace – počet db bloků – Maximální odhadovaný čas běhu operace –... Internetový obchod Pobočkový systém Analýza dat Jednoduché dotazy Vysoká priorita Jednoduché dotazy Střední priorita Složité analytické dotazy Nízká priorita
Lze zajistit bezpečné oddělení dat uvnitř konsolidovaného systému?
Nedostupnost - Příčiny a řešení Neplánované výpadky Selhání médií & Katastrofy Systémová údržba Údržba databáze Plánované odstávky Selhání komponenty Lidské chyby PrimárníZáložní
Ochrana proti rozsáhlým výpadkům pomocí záložního centra WAN Traffic Manager Primární centrum RAC Oracle Application Server Záložní centrum Oracle Application Server RAC Data Guard
OracleSecurityChallenges ITSEC, levels E3/F-C2 ITSEC, levels E3/F-B1 6 Common Criteria, level EAL-4 TCSEC, Level C2 TCSEC, Level B1 SecurityCriteria 2 Russian Criteria, levels III, IV 1 FIPS 140-1, level 2 17 TOTAL Bezpečnostní certifikáty databáze Oracle Oracle Database je jediným databázovým systémem certifikovaným na Common Criteria, level EAL-4
A Q & O T Á Z K Y O D P O V Ě D I