Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře.

ZveřejnilLubomír Dušek

Podobné prezentace

Prezentace na téma: "Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře."— Transkript prezentace:

1 Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře

2 Personalis 2006 Tendence IS: změna architektury Již několik let lze sledovat přechod informačních systémů – včetně PIS - k vícevrstvé architektuře (VVA), která odděluje prezentční, aplikační a datovou vrstvu informačního systému. Přechod na vícevrstvou architekturu tvoří jedinečnou příležitost k lepšímu návrhu celého systému a jeho bezpečnosti!

3 Personalis 2006 Ekonomické a organizační důvody pro VVA  Centralizace agend společnosti. Stále vyšší počet a provázanost agend a aplikací vede k nákladné a obtížné „orchestraci“. Řešením je konsolidace aplikací a dat na omezený počet nebo dokonce jedinou aplikační a datovou infrastrukturu, která musí být dotupná z každého místa.  Snaha větších společností k vyvedení části, nebo celé infrastruktury IT (outsourcing, různé modely)  Rozšíření internetových aplikací a tendence k vytváření intranetových aplikací na podobných principech. Běžně používané technologie - HTTP, HTML, skripty, prohlížeč...- k tomuto účelu nebyly navrženy a nejsou vždy vhodné!  Vyšší hodnocení společnosti, která používá moderní systémy  Zadavatelé veřejných obchodních soutěží vyžadují vícevrstvou architekturu a web technologie

4 Personalis 2006 Technické předpoklady VVA  Běžná dostupnost rychlých datových komunikací  Významný pokles cen škálovatelných serverů, založených na výkonných a dostupných 64 bitových procesorech a OS  Dostupnost „hostingových“ center  Zralá platforma pro vývoj a provoz vícevrstvých aplikací – J2EE,.NET  Rozvoj SOA – architektury orientované na poskytování služeb v síti  Dostupnost kryptografických prostředků a standardních protokolů

5 Personalis 2006 Bezpečnostní aspekty VVA Z hlediska bezpečnosti přináší VVA nové možnosti, ale i nová rizika. Hlavním potenciálem je definovatelná a zaručitelná úroveň bezpečnosti centrálního systému ve srovnání s obtížně zaručitelnou bezpečností lokálních nebo distribuovaných systémů

6 Personalis 2006 Chráněná aktiva PIS  Ochrana osobních údajů vyžadovaná legislativou  Ochrana informací uvnitř společnosti  Dostupnost systému  Důvěryhodnost, integrita a úplnost informací

7 Personalis 2006 Vybraná bezpečnostní rizika PIS ve VVA  Komunikace v nedůvěryhodném prostředí  Internet  veřejná datová síť  intranet  Riziko ztráty dostupnosti  jediný bod selhání  DoS  Náročné vyhledání zdroje a místa problému  Riziko neoprávněného přístupu k informacím  data jsou soustředěna na jednom místě  data mohou být pod kontrolou třetí strany  na aplikační server není delegována autentizace uživatelů vůči databázi

8 Personalis 2006 Vybrané ochranné mechanismy a opatření Strukturovaná bezpečnost, aplikovaná na více úrovních  Fyzická a personální bezpečnost centrálních aplikačních, infrastrukturních a databázových systémů  Autentizace, autorizace, audit  Kryptografické prostředky  Bezpečné komunikační kanály  Aplikační brány  Systémy pro detekci průniku  Záložní systémy, klastry

9 Personalis 2006 Bezpečnost VVA - Aplikační infrastruktura Platforma J2EE je určená pro serverové aplikace, skládá se ze (serverové) prezentační, aplikační a datově objektové vrstvy.  Přenositelnost na přiměřeně bezpečný systém – hostitelský OS a aplikační server  Často je k dispozici zdrojový kód (vlastní prostředí JRE, aplikační server, open source knihovny) – kontrola, oprava chyb, úprava  Kód aplikace je interpretován, nepoužívají se některé nebezpečné mechanismy a přístup k nativním rozhraním

10 Personalis 2006 Bezpečnost VVA - Aplikační server  Aplikace je fyzicky oddělena od uživatelů a většiny potenciálních útočníků  Lze zajistit a vynutit vyšší fyzickou a personální bezpečnost  Aplikace je centrálně konfigurována  Záznamy bezpečnostních událostí a dohled  Reakce na chyby, incidenty a bezpečnostní požadavky, odpadá plošná instalace opravných a nových verzí

11 Personalis 2006 Bezpečnost VVA - Centrální databáze  V případě více lokalit organizace (vzdálené pobočky) odpadá replikace nebo sehrávání databází (export + import), které je bezpečnostním rizikem  Bezpečnější regulérní záloha a obnova databáze  Bezpečné uložení záloh  Jediné připojení k databázi

12 Personalis 2006 Bezpečnost VVA – další technologie  „Zralá“ platforma J2EE v komerčních i „open source“ produktech  Standardní protokoly a schémata pro silnou autentizaci a zaručený elektronický podpis  Bezpečná komunikace (SSL/TLS, VPN)  Kryprografické prostředky (HSM, SAM, čipové smart karty)

13 Personalis 2006 OKbase – bezpečný PIS ve VVA OKbase je originální české programové vybavení pro komplexní správu lidských zdrojů a podporu administrativní práce úřadu nebo podniku. Cílem návrhu a implementace OKbase je splnit funkční, technické, ekonomické a bezpečnostní požadavky na moderní PIS, zejména v segmentu správních úřadů, institucí veřejné správy a malých a středních podniků. Nová generace (VVA) navazující na osvědčené programové systémy OKmzdy a OKinfo (C/S)

14 Personalis 2006 OKbase OKbase využívá vícevrstvou architekturu (VVA), která odděluje datovou, aplikační a prezentační vrstvu. Aplikační programové vybavení je instalováno na aplikačním serveru, na PC uživatelů je umístěn pouze sofistikovaný prezentační software (VVA klient) nebo webový prohlížeč. Použitá architektura a platforma Java umožňuje přenositelnost klienta, aplikačního serveru i databázového serveru na různé platformy, škálovatelnost aplikace a efektivní údržbu.

15 Personalis 2006 Funkčně bohatý VVA klient VVA klient založený na platformě Java poskytuje bezpečné a komfortní prostředí pro profesionální uživatele, při maximální efektivitě datových přenosů mezi klientem a aplikačním serverem.  Klient neobsahuje žádný kód pro řízení aplikace, ani neumožňuje jej instalovat  Klient obsahuje pouze ty komponenty, které jsou vyžadovány konkrétní aplikací  Součástí systému je automatická instalace a údržba prostředí VVA klienta s pomocí technologie Webstart.

16 Personalis 2006 Příklad implementace OKbase centrální úřad s pobočkami

17 Personalis 2006 OKbase – některé použité bezpečnostní prvky  Autorizační systém využívá mechanismy uživatelských a účelových skupin, rolí a organizační struktury společnosti.  Systém nabízí pouze akce, které je uživatel oprávněn provést a zobrazuje pouze data, která je uživatel oprávněn číst.  Řízení přístupů k funkcím je víceúrovňové, na nejnižší úrovni je vnuceno interceptory na úrovni servisní vrstvy  Autorizace a audit jsou konfigurovány při implementaci nebo vnuceny v kódu prostřednictvím anotací

18 Personalis 2006 Modulární koncepce systému OKbase tvoří funkčně propojené serverové aplikační moduly, které sdílí společnou databázi, organizační infrastrukturu a bezpečnostní koncepci systému. Modulární architektura umožňuje transparentní rozšiřování funkcí systému kdykoli po jeho instalaci, v souvislosti s růstem potřeb společnosti a rozšiřováním nabídky modulů.

19 Personalis 2006 Funkční moduly

20 Personalis 2006 Docházkový modul Docházkový modul je nástroj pro evidenci pracovní doby zaměstnanců. Aplikace umožňuje jednoduchou a účinnou formou evidovat odpracovanou dobu, příchody a odchody zaměstnanců, dovolené nebo překážky v práci a následně je vyhodnocovat, kontrolovat, podepisovat a schvalovat. Základem pro implementaci jsou konfigurovatelné aktivity, směnové kalendáře zaměstnanců, docházkové terminály, identifikační čipové karty a samoobslužný provoz.

21 Personalis 2006 Docházkový terminál

22 Personalis 2006 VVA klient – přehled docházky

23 Personalis 2006 www samoobsluha Samoobslužné funkce OKbase umožňují běžným zaměstnancům s použitím internetového prohlížeče prohlížet nebo opravovat docházku, plánovat dovolenou a udržovat aktuální stav vybraných personálních údajů - v souladu s přidělenými právy.

24 Personalis 2006 www samoobsluha – přehled docházky

25 Personalis 2006 Personální modul Personální modul je účinný nástroj pro optimalizaci využití lidských zdrojů organizace. Umožňuje evidovat a spravovat personální údaje o osobách v pracovněprávních vztazích (zaměstnancích nebo osobách ve služebních poměru), uchazečích o zaměstnání i bývalých zaměstnancích. Mezi základní funkce patří systemizace pracovních pozic, práce s organizačními strukturami, hodnocení zaměstnanců, evidence školení, zdravotních prohlídek a bezpečnostních pomůcek.

26 Personalis 2006 Personální modul

27 Personalis 2006 Systémový modul Systémový modul je základní součástí OKbase. Vytváří prostředí a poskytuje funkce pro běh všech modulů. Systémový modul je správcem konfiguračních parametrů, uživatelských práv a funkcí, zabezpečuje i základní funkce související s ochranou osobných údajů a dalších uložených dat.

28 Personalis 2006 Systémový modul

29 Personalis 2006 Dotazy, kontakt Ing. Ivo Rosol, CSc. ředitel vývojové divize OKsystem s.r.o. www.oksystem.cz rosol@oksystem.cz

Stáhnout ppt "Personalis 2006 Bezpečnost personálních informačních systémů ve vícevrstvé architektuře."

Podobné prezentace

Informační systém pro řízení lidských zdrojů ve veřejné správě

Informační systém pro řízení lidských zdrojů ve veřejné správě
Zpráva o činnosti Státního úřadu inspekce práce za rok 2012 Mgr. Ing. Rudolf Hahn generální inspektor.

Zpráva o činnosti Státního úřadu inspekce práce za rok 2012 Mgr. Ing. Rudolf Hahn generální inspektor.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/34.0873 Název materiálu.

Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.

Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.
Hotel Tatra, Velké Karlovice 23. – 25. dubna 2007 S4U – Seminář o Univerzitním informačním systému 1 Osobní management Tomáš Procházka.

Hotel Tatra, Velké Karlovice 23. – 25. dubna 2007 S4U – Seminář o Univerzitním informačním systému 1 Osobní management Tomáš Procházka.
Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.

Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006.

IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006.
[ 1 ] RNDr. Pavla Coufalová Symposium Strategie servisní podpory zdravotnických pracovišť, Praha, 7. 10. 2010 © 2010 Státní ústav pro kontrolu léčiv.

[ 1 ] RNDr. Pavla Coufalová Symposium Strategie servisní podpory zdravotnických pracovišť, Praha, © 2010 Státní ústav pro kontrolu léčiv.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Datové schránky v praxi Lukáš Jelínek

Datové schránky v praxi Lukáš Jelínek
Regionální politika Oldřich Hájek. Obsah přednášky: Další typologie nástrojů lokálního rozvoje a RP Podle charakteru a zaměření Podle charakteru a zaměření.

Regionální politika Oldřich Hájek. Obsah přednášky: Další typologie nástrojů lokálního rozvoje a RP Podle charakteru a zaměření Podle charakteru a zaměření.
Pilotní projekt základního registru územní identifikace a nemovitostí („PP ZRÚIN“) Vít Suchánek, ČÚZK.

Pilotní projekt základního registru územní identifikace a nemovitostí („PP ZRÚIN“) Vít Suchánek, ČÚZK.
Inf Používání a tvorba databází. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/34.0608 Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.

Inf Používání a tvorba databází. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.
Právní subjektivita – s.r.o. Výhoda spočívá v omezeném ručení za závazky společnosti. Relativně nízké hodnotě min. základního jmění. Malé administrativní.

Právní subjektivita – s.r.o. Výhoda spočívá v omezeném ručení za závazky společnosti. Relativně nízké hodnotě min. základního jmění. Malé administrativní.
Informace fyzických a právnických osob na Portálu veřejné správy Ing. Pavel Tesař, projektový manažer odbor eGovernmentu 30.10.2012 1.

Informace fyzických a právnických osob na Portálu veřejné správy Ing. Pavel Tesař, projektový manažer odbor eGovernmentu
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.

Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
NSK A SEKTOROVÉ DOHODY JAKO NÁSTROJE PRO PROVÁZÁNÍ POTŘEB ZAMĚSTNAVATELŮ A VZDĚLAVATELŮ Ilona Šimarová, Svaz průmyslu.

NSK A SEKTOROVÉ DOHODY JAKO NÁSTROJE PRO PROVÁZÁNÍ POTŘEB ZAMĚSTNAVATELŮ A VZDĚLAVATELŮ Ilona Šimarová, Svaz průmyslu.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.

Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
PŘEHLED ZAJÍMAVOSTÍ Z KONFERENCE INTERNET VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ 2013 Mgr. Tomáš Lechner, VŠE v Praze.

PŘEHLED ZAJÍMAVOSTÍ Z KONFERENCE INTERNET VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ 2013 Mgr. Tomáš Lechner, VŠE v Praze.

Podobné prezentace

Reklamy Google