Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Podobné dokumenty
IP telephony security overview

Bezpečnost internetového bankovnictví, bankomaty

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Úvod - Podniková informační bezpečnost PS1-2

PHP a bezpečnost. nejen veřejná

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Extrémně silné zabezpečení mobilního přístupu do sítě.

Část IV - Bezpečnost 21. Kapitola 19 Bezpečnostní model ASP.NET 23

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Jak efektivně ochránit Informix?

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Aplikovaná informatika

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

přes webový prohlížeč pomocí Ing. Tomáš Petránek

Řešení ochrany databázových dat

Informatika / bezpečnost

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

PODNIKOVÁ INFORMATIKA

PENETRAČNÍ TESTY CYBER SECURITY

Demilitarizovaná zóna (DMZ)

Z internetu do nemocnice bezpečně a snadno

Bezpečná autentizace přístupu do firemní sítě

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Autentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security

Zabezpečení kolejní sítě

Technické aspekty zákona o kybernetické bezpečnosti

INFORMAČNÍ SYSTÉMY NA WEBU

Správa přístupu PS3-1

Uživatelská dokumentace

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Specifikace předmětu zakázky

0x5DLaBAKx5FC517D0FEA3

Směry rozvoje v oblasti ochrany informací KS - 7

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

12. Bezpečnost počítačových sítí

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

ERP-001, verze 2_10, platnost od

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Microsoft Day Dačice - Rok informatiky

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita

Diagnostika webových aplikací v Azure

Identifikace a autentizace

Jen správně nasazené HTTPS je bezpečné

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

BI-VWS. Vybrané partie z administrace Webového Serveru Autetizace, autorizace a kontrola přístupu Apache httpd

Testování webových aplikací Seznam.cz

Compatibility List. GORDIC spol. s r. o. Verze

Bezepečnost IS v organizaci

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U

Směry rozvoje v oblasti ochrany informací PS 7

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

KAPITOLA 22. Autentizace Windows

SSL Secure Sockets Layer

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Sísyfos Systém evidence činností

Komunikace mezi doménami s různou bezpečnostní klasifikací

Zabezpečení mobilních bankovnictví

Použití čipových karet v IT úřadu

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Databáze II. 1. přednáška. Helena Palovská

Příručka pro potvrzování zůstatku vydavatelům karetních platebních prostředků

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Systém IZIP. internetový přístup ke zdravotním informacím pacienta. Elektronická zdravotní knížka. .:. Jiří Venclík.:.

In orma I a. O nl Dva. Počítačové aplikace v podnikové a mezipodnikové praxi Technologie informačních systému R1zení a rozvoj podnikové informatiky

Outsourcing v podmínkách Statutárního města Ostravy

Programové vybavení OKsmart pro využití čipových karet

Normy ISO/IEC Aplikační bezpečnost

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Obsah přednášky. Představení webu ASP.NET frameworky Relační databáze Objektově-relační mapování Entity framework

IBM i Verze 7.2. Připojení k operačnímu systému IBM i IBM i Access for Web

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Artlingua Translation API

Správa přístupu PS3-2

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Bezpečnostní problémy VoIP a jejich řešení

A INTERNETU V PRAXI Q'REILLY'. Simson Gmfinkel Gene Spafford

PV157 Autentizace a řízení přístupu

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Transkript:

Návrh a implementace bezpečnosti v podnikových aplikacích Pavel Horal <pavel.horal@orchitech.cz>

Obsah přednášky úvod do problematiky aplikace, bezpečnost, základní pojmy informační bezpečnost, řízení přístupů, řízení bezpečnosti kryptosystémy a PKI šifrování, hashe, razítka PKI a související standardy protokoly a implementace HTTP, OpenID, OAuth, SAML, Kerberos, WSS Linux, Windows, OSX bezpečnostní standardy ISO, CC,

Podnikové aplikace podpora fungování podniku (ERP, CRM, BI, CMS, ) řízená obchodními požadavky integrace s okolními systémy zpracování a správa dat implementuje obchodní procesy konkrétní skupina uživatelů, různé role Minesweeper, SAP, Office, SharePoint, Facebook, stackoverflow.com, bbc.co.uk, MySQL, ICQ, OpenWrt

Bezpečnost obecně Stav, kdy je systém schopen odolávat známým a předvídatelným vnějším a vnitřním hrozbám, které mohou negativně působit proti jednotlivým prvkům (případně celému systému) tak, aby byla zachována struktura systému, jeho stabilita, spolehlivost a chování v souladu s cílovostí. Je to tedy míra stability systému a jeho primární a sekundární adaptace. Zdroj: http://www.mvcr.cz/clanek/pojmy-bezpecnost.aspx

Aplikační bezpečnost Application security is the use of software, hardware, and procedural methods to protect applications from external threats. Zdroj: http://searchsoftwarequality.techtarget.com/definition/application-security Application security encompasses measures taken throughout the code's life-cycle to prevent gaps in the security policy of an application or the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgrade, or maintenance of the application. Zdroj: https://en.wikipedia.org/wiki/application_security

Co to znamená? Aplikace by měla zamezit odcizení dat. Aplikace by měla zamezit poškození dat. Aplikace by měla zajistit dostupnost dat. Aplikace by měla odolat chybovým stavům. Aplikace by měla fungovat správně. Aplikace by měla umožnit prokázání správné funkčnosti. Aplikace by měla, Pro zamyšlení: protokol z výslechu, corpus delicti, zatykač, vojenská informace? Zdroj: http://www.mvcr.cz/clanek/pojmy-bezpecnost.aspx

Oblasti bezpečnosti Zdroj: Markus Schumacher, SAP AG

Informační bezpečnost CIA triad Základní principy autenticita integrita důvěrnost dostupnost nepopiratelnost zodpovědnost důvěryhodnost sledovatelnost Řízení přístupů identifikace autentizace autorizace Zdroj: https://guardtime.com/blog/big-data-governance-and-security-for-the-fortune-500

Analýza rizik identifikace a ohodnocení zdrojů odhalení zranitelnosti a hrozeb návrh protiopatření pro minimalizaci rizik připuštění rizika, odstranění rizika, přenesení rizika každé protiopatření má svoji cenu (ne nutně finanční) vypůjčené pojmy z biometrie false acceptance rate false rejection rate

Obvyklé hrozby Validace / ošetření vstupů buffer overflow, injection attacks, denormalizace Modifikace kódu systému Útok na autentizační schéma odposlech, brute foce, slovníkový útok, reply, odcizení přihlašovacích údajů Útok na autorizační schéma zvýšení práv, získání důvěrných dat, manipulace s daty Konfigurační řízení získání konfiguračních dat, přístup k administrativním rozhraním, chybějící zodpovědnost Zdroj: https://en.wikipedia.org/wiki/application_security

Obvyklé hrozby Citlivá data přístup k citlivým datům, odposlech, manipulace Session management odcizení session, reply, man in the middle Kryptografie špatné generování nebo správa klíčů, slabá kryptografie Parameter manipulation query, form, cookie, header Exception management zobrazení citlivých dat, nedostupnost Auditing and logging odmítnutí zodpovědnosti, nedetekovatelný útok

Metody zabezpečení procesní bezpečnost (politiky, ) fyzická bezpečnost (zámky, ) síťová bezpečnost (topologie, aktivní prvky, ) bezpečnost operačních systémů aplikační bezpečnost (řízení přístupu, ) datová bezpečnost (zálohy, ) bezpečnost při vývoji

Řízení bezpečnosti kontinuální vyhodnocování a zajišťování bezpečnosti Zdroj: Gary McGraw: Software Security "Cílem bezpečnostního projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna." Zdroj: cs.wikipedia.org

Základní principy Určení a oddělení zodpovědnosti Zajištění nejslabšího článku Zabezpečení chybných stavů Jednoduchost návrhu Opatrnost v důvěře Princip nejmenšího práva Princip čtyř očí a obecně dvojité kontroly Auditní stopa Použití ověřených technologií

Autentizace ověření proklamované identity autentizace vs. identifikace autentizace je dokazovacím procesem důkaz je vlastnictví, znalost nebo vlastnost vícefaktorová autentizace úspěšná autentizace má své vlastnosti úroveň a typ autentizace autentizační kanál

Aplikace a jejich prostředí desktopová aplikace běží v OS nativní vs. VM webová aplikace běží na serveru tlustý vs. tenký klient mobilní aplikace běží v mobilním zařízení práva na HW a data klient aplikace DB integrovaný systém DB

Webové aplikace aplikace běžící v prohlížeči (tenký klient) aplikace postavené na webových technologiích (HTTP) HTTP (RFC 2068) request / response protokol metoda + URI, response kód a status hlavičky a tělo

Webová autentizace BASIC jméno a heslo zakódované v BASE64 posílá se s každým requestem DIGEST HA1=MD5(username:realm:password) v BASE64 HA2=MD5(method:URI) MD5(HA1:nonce:HA2) posílá se s každým requestem nonce (reply attack) Formulářová autentizace HTML formulář na jméno a heslo speciální URI na zpracování autentizace uložení autentizace?

Webová autentizace Klientské SSL autentizaci na úrovni SSL autentizace privátním klíčem (využití asymetrické kryptografie) uložení autentizace? Další metody SPNEGO / Kerberos OAuth OpenID Connect SAML CAS JWT

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář