daa7362e4050d5664c761e77164fcbb3.ppt
- Количество слайдов: 20
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Määritelmiä – Tietoliikenteen & tietokoneen tietoturva Tietoturva palvelut Kuvaus Tunnistus (Authentication) Varmistaa, että kukin on se kuka tai mikä väittää olevansa. Koskee niin henkilöitä kuin tietoalkoita (kuten sanomia). Kulunvalvonta (Access Control) Suojelee luvattomalta sisäänpääsyltä. Luottamuksellisuus (Confidentiality) Varmistaa että vain ne, kenellä on oikeus näkevät tiedot. Eheys (Integrity) Turvaa, ettei tietoa voida muuttaa salaa ilman lupaa. Kiistämättömyys (Nonrepudiation) Tarjoaa todisteen tapahtumasta niin, ettei joku osapuolista voi jälkikäteen virheellisesti kiistää sitä (esim. Kauppatapahtuma). Ford & Baum 1997
Määritelmiä – Tietoliikenteen & tietokoneen tietoturva Tietoturva palvelut Perinteinen varmistuskeino Sähköinen varmistukeino Tunnistus (Authentication) Kuvallinen henkilökortti, henkilökohtaiset kysymykset (mikä on äitisi tyttönimi) Sähköinen tunniste Kulunvalvonta (Access Control) Lukot ja avaimet, pääavain (yhteinen kaikille), vahtimestari / kulunvalvonta Roolit (roles) ja valtuudet (privileges ) Luottamuksellisuus Sinetöity kirje, läpinäkymätön kirjekuori, näkymätön muste (Confidentiality) Salaus kuten SSL Eheys (Integrity) Pysyvä (=häviämätön) muste, hologrammi (kuten rahassa ja luottokortissa) Sähköinen allekirjoitus Kiistämättömyys (Non-repudiation) Vahvistettu allekirjoitus (notaarin vahvistama), kirjattu kirje Sähköinen allekirjoitus Ford & Baum 1997
Määritelmiä Henkilöllisyys (=identity) kertoo kuka sinä olet – – Käyttäjätunnus, sertifikaatti (DN) Kuvallinen henkilökortti Tunnistus (=authentication) kertoo kuka yrittää käyttää tietoa tai sovellusta – – – Salasana (jotain, mitä vain sinä tiedät) Vahva tunnistus (älykortti, tms. + pin-koodi) Avain lukkoon
Määritelmiä - jatkuu Luvitus (=authorization) kertoo, onko käyttäjällä oikeus tekemiseensä, hakemaansa tietoon tai sovellukseen – – – Käyttäjätunnus sovellukseen Ajokortti 007 – license to kill Tietoturva (=security) on prosessi, ei mikään tuote tai ominaisuus 100% turvallisuus käytännössä mahdotonta saavuttaa
Käyttäjätunnuksiin liittyviä haasteita Käyttäjät menettävät aikaa miettiessään tunnuksiaan ja salasanojaan – – paljon eri tunnuksia eri formaatissa joka tunnukseen oma salasana, muotovaatimukset ja vanheneminen erilaiset Salasanojen alustaminen (reset) kuormittaa helpdeskiä runsaasti Käyttäjät kirjoittavat tunnukset ja/tai salasanat paperille JA jättävät ne työpöydälleen Sovelluksissa salasanat pahimmillaan talletettuna SELVÄKIELISENÄ
Määritelmiä SSO = Single Sign-On, eli kertakirjautuminen ja keskitetty tunnistuspalvelu Tavoitteena – – – helpottaa käyttäjien toimintaa (vähentää käyttäjien tuskaa) vähentää tarvetta tunnusten ja salasanojen kirjaamiselle paperille (tai sähköiseen muistioon) vähentää helpdesk: n tunnuksiin liittyvää kuormitusta parantaa tietoturvaa vähentää hallinnointiin liittyviä kustannuksia
Tietoturvan anatomiaa Järjestelmät pohjautuvat monikerrosarkkitehtuuriin – – monta kohtaa, joissa tieturvaa voidaan yrittää loukata monta tapaa, joilla se voidaan tehdä
Käyttäjän muut ohjelmat: Käyttäjän selain Web-palvelin • SQL*Plus • C-ohjelma • Jne. DB DB Sovellukset SSO, Oi. D Sovelluspalvelin
Oracle Security Architecture Oracle E-Business Suite Oracle Collaboration Suite Oracle. AS Portal & Wireless Responsibilities, Roles …. Secure Mail, Interpersonal Rights … Roles, Privilege Groups … Oracle. AS 1010 g Oracle. AS g g Oracle. AS 10 Oracle 10 g Database JAAS, WS Security Java 2 Permissions. . Enterprise users, VPD, Encryption, Label Security Application Component Security Oracle 10 g Platform Security Bindings External Security Services Access Management Directory Services Provisioning Services Oracle. AS Certificate Authority Delegated Administration Services Oracle. AS Single Sign-on Directory Integration & Provisioning Oracle Internet Directory Oracle Identity Management Enterprise Security Infrastructure
Identity Management in Oracle 10 g Oracle Internet Directory Synchronization Provisioning Integration Delegated Administration AS 10 g. Single Sign-On Oracle Certificate Authority LDAP standard repository for identity information Integration with other directories (e. g. ADS, i. Planet) Automatic provisioning of users in the Oracle environment Self service administration tools for managing identity information across the enterprise Single sign-on to web applications Issue and manage X. 509 v 3 compliant certificates to secure email and network connections
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
1. Käytt äjä kutsu u DB DB Sovellus (esim. Portaali) sen htai toko istun n man imee taa o sela aset ttäjän : lle y SO SSO 7. S teen kä sana eväs s ja sala u tunn älitä lasana 5. V us ja sa äjätunn a käytt 4. Ann n ta varte nnistus hjaa tu västettä e elleeno 3. Uud öydy SSO: n il koska e Selain sovellus ta (URL 2. Sovel ) lus etsii sovellus delegoi p evästettä yynnön ja kun ei sso-palv löydä sit elimelle ä tunnistu 8. Ohjata sta varte an takaisi n n kutsuttu un sovell ukseen 9. Aseta s ovellusev äste käytt äjän selai meen SSO, Oi. D Sovelluspalvelin 6. SSO tarkistaa käyttäjän antamat tiedot hakemistopalvelimelta (Oi. D) l. hakee käyttäjän DN-tiedon ja suorittaa ldapbind-operaation annetulla salasanalla
HTTP Server mod_plsql mod_oc 4 j oidldapd ods orasso iasdb
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Mietelmiä Tietoturvan haasteena on yrityksen oma toimintatapa, prosessit, henkilöt ja kulttuuri – ei niinkään teknologia Kaikki mikä on yrityksen sisäverkossa koetaan turvalliseksi – – Myytti: hakkerit aiheuttavat suurimmat tietovuodot ja ongelmat Fakta: yli 60% tietovuodoista aiheutuu yrityksen oman henkilöstön toimesta Auditointi on tehokas ”uhka” tietomurron estämiseksi (yrityksen omat työntekijät)
Q & A Q U E S T I O N S A N S W E R S