1 / 47

Tradycja i nowoczesność – bankowość spółdzielcza.

Tradycja i nowoczesność – bankowość spółdzielcza. Rozwój teleinformatyczny – wyzwania i ryzyka. Piotr Wróbel Asseco Poland S.A. Szczyrk, 16 listopada 2006 r. Agenda. Wprowadzenie – zasoby teleinformatyczne Zjawiska i trendy Ryzyka i metody przeciwdziałania Podsumowanie.

ima
Download Presentation

Tradycja i nowoczesność – bankowość spółdzielcza.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tradycja i nowoczesność – bankowość spółdzielcza. Rozwój teleinformatyczny – wyzwania i ryzyka • Piotr Wróbel • Asseco Poland S.A. Szczyrk, 16 listopada 2006 r.

  2. Agenda • Wprowadzenie – zasoby teleinformatyczne • Zjawiska i trendy • Ryzyka i metody przeciwdziałania • Podsumowanie

  3. Środowisko IT – zakres I N F O R M A C J A

  4. Środowisko IT - cechy • Funkcjonalne • Mobilność - praca poprzez sieć • Heterogeniczność struktury – sprzęt/systemu operacyjne/aplikacje • Złożoność – brak pewności co do jakości funkcjonowania IT • Zróżnicowanie produktowe - podobne funkcjonalności w różnych obszarach IT • Organizacyjne • Niedoinwestowanie – braki funkcjonalne w wielu obszarach IT • Marnotrawstwo zasobów – zakupione produkty nie są wystarczająco wykorzystane • Sprawność „na dziś” – brak spójnej polityki serwisowej, ciągłości działania i reagowania w sytuacji kryzysowej

  5. Środowisko IT – postępujące zjawiska • Postępująca unifikacja protokołów – http/https, IPSec • Centralizacja aplikacji/systemów – tworzenie centrów przetwarzania danych • 2w1 – łączenie wielu funkcjonalności w jednym urządzeniu/oprogramowaniu • Miniaturyzacja – coraz większa moc i funkcjonalność w mniejszej obudowie • Dezaktualizacja - nieustanna konieczność uaktualniania produktów • Konkurencyjność – walka pomiędzy producentami i ich wzrost niesie spadek jakości i pogoń za niską ceną

  6. Trendy • Mobilność – zanika różnica między urządzeniami • Telefon jak komputer • Przenośny odtwarzacz audio/video jak komputer • Aparat fotograficzny, kamera jak komputer • Łączność – nadrzędny cel bez względu na środki • Chcemy mieć dostęp do sieci w każdym miejscu • Otwartość • Dostęp do internetu i świadczenie usług przy jego wykorzystaniu to już nie ekstrawagancja to norma!

  7. Nowe technologie • Poufność • Technologia VPN over SSL • Tożsamość • Uwierzytelnianie za pomocą telefonu komórkowego • Biometryka – tęczówka, skanowanie twarzy, rozpoznawanie mowy, odcisk dłoni • Łączność • WiMAX – nowy standard w sieciach MAN • Wydajny WiFi 2,4 GHz (MiMO) – 802.11n 108 Mb/s • GPRS/Edge, UMTS • Komunikatywność • Telefonia IP • Instant Messaging (gg, tlen itp..)

  8. Przykłady zagrożeń…, a jakie ryzyko??? • Jak często nie sprawdzamy pochodzenia i wiarygodności ściągając i instalując skompilowane oprogramowanie? • Jak często zapominamy o archiwizacji zasobów dyskowych naszej stacji roboczej? • Jak często zostawiamy laptopa, telefon komórkowy, klucze do serwerowni lub biura w samochodzie? • Czy zawahamy się przed skorzystaniem z bezpłatnego dostępu do sieci internet w miejscu nam nieznanym? • Skąd wiemy, że systemy radiowe naszego komputera lub telefonu nie łączą się z innymi, sąsiednimi systemami? • Co zrobimy gdy znajdziemy na parkingu przed wejściem do firmy pamięć flash? Z życia wzięte …

  9. Przykłady zagrożeń…, a jakie ryzyko??? A co dopiero gdy … …musisz usuwać niechcianą pocztę? …musisz czyścić system lub go odzyskiwać po infekcji wirusów? …musisz odzyskiwać bazę bankową z uszkodzonej lub źle wykonanej kopii bezpieczeństwa? …musisz zapewnić łączność placówce nie dysponując łączem zapasowym? …musisz szybko uruchomić system bankowy po awarii serwera nie dysponując zapasowym

  10. Nie wierzycie…?

  11. Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

  12. Jak temu zaradzić? Fizycznym i technicznym Zasilanie energetyczne budynku Lokalizacja, obiekt Gaszenie, wentylacja Sprzętowo-programowym Odpowiednia konfiguracja i struktura aplikacji Dobrany i przygotowany sprzęt informatyczny Umowy serwisowe i konserwacyjne Regularna aktualizacja Organizacyjno-kadrowym Personel administracyjny Polityka bezpieczeństwa Szkolenia Procedury postępowania • Lokalizacja fizyczna • Sprzęt • System operacyjny • Aplikacja • Interfejs • Użytkownik

  13. Jak realizować? • Założenia systemu – musimy być pewni czego chcemy • Inwentaryzacja zasobów - „może coś już mamy?” • Wybór integratora – Asseco  • Wybór technologii – cena to nie wszystko! • Wybór implementacji - „wycisnąć ile się da, ale nie wdrażać zbędnych funkcjonalności” • Kontrola jakości - testy, testy, testy – nie tylko w trakcie, zaraz po wdrożeniu ale podczas całego okresu użytkowania • Szkolenia

  14. Przeciwdziałanie P r o d u k t y

  15. Check Point Integrity – endpoint security • Zapora sieciowa • Personalny system firewall – wymusza polityke bezpieczeństwa na stacji • Predefiniowane strefy bezpieczeństwa:Trusted, Internet, Blocked • Przynależność poszczególnych obiektów do stref • Reguły dostępu do predefiniowanych stref – dla aplikacji • Przypisywanie polityk do użytkowników i grup użytkowników • System IPS • Zabezpiecza przedtrojanami, robakamii atakami wirusów • Zatrzymujezłodziei danych(anty-spyware) • Zabezpieczanie plików (np.: wykonywalnych) • Bezpieczeństwo OS • Optymalizuje wykorzystanie łącza • Eliminuje zagrożenia komunikatorów sieciowych • Zabezpieczanie rejestru Windows • Uaktualnianie antywirusa, poziomu patchy • Zarządzanie • Centralne zarządzanie, logowanie i raportowanie • Uaktualnianie i instalacja reguł bezpieczeństwa na końcówce w czasie rzeczywistym

  16. Bezpieczeństwo zgromadzonych danych Szyfrowanie zasobów – SafeBoot – produkt bezpieczeństwa dla wszystkich urządzeń przenosnych (dwukładnikowe) uwierzytelnianie Pre-Boot– szyfrowanie dysków i partycji Przeźroczyste i automatyczne szyfrowanie Mocna kryptografia (RC5-1024/AES-256) Uwierzytelnianie wspiera tokeny (USB) Centralnie zarządzany system szyfrowania stacji roboczych Wymuszanie polityki bezpieczeństwa na stacji roboczej – blokada urządzeń USB, wymuszanie odpowiednich haseł itp.., kto i kiedy może skorzystać ze stacji Centralne zarządzanie z podziałem na użytkowników, grupy i stacje robocze Certyfikacja FIPS 140 W pełni przeźroczysty w użyciu, automatyczne szyfrowanie/deszyfrowanie Praktyczny brak degradacji wydajności na urządzeniu Wsparcie dla wielu języków (w tym PL) Trwałe usuwanie danych Oprogramowanie Blancco Data Cleaner – m.in.. Certyfikat ABW do klauzuli „tajne” Urządzenia firmy Verity Systems: SV91M Degausser

  17. Audyt i monitorowanie stanu „końcówki” • Katapulta firmy Avet - lokalny skaner bezpieczeństwa dla systemów Windows NT/2000/XP/2003 • Nie wymaga instalacji! • Nie modyfikuje systemu! • Zastosowanie jako: • Audyt zgodności z ISO 17799 i ISO 27001 • Zarządzanie podatnościami, identyfikacja brakujących poprawek i niebezpiecznych konfiguracji • Główne zalety: • Dostarcza rzeczywistych informacji o podatnościach i poprawkach • Posiada dostęp do wszystkich elementów konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa • Przeprowadza testy w sposób bezpieczny dla systemu • Umożliwia skanowanie logów

  18. Partnerzy

  19. Dziękuję Piotr.Wrobel@Asseco.pl http://www.Asseco.pl

  20. Prezentacja systemu MS W2K Pro HP PCM + IDM Radius Server MS Active Directory NetScreen Security Manager MailServer Stacja robocza Windows XP Zarządzanie Web Server Zapora sieciowa AV Gateway NetDetector

  21. Przykłady zagrożeń…, a jakie ryzyko??? Henryk Walencik, Dyrektor Departamentu Bezpieczeństwa i Administracji w Banku BPS SA. – Bezpieczeństwo jest dziedziną, w której potrzebne jest stałe udoskonalanie. Jeszcze parę lat temu najważniejsze było zabezpieczenie placówek przed przestępstwami rozbójniczymi, tj. włamania, napady. Obecnie zagrożeniem dla banków, nie tylko spółdzielczych, są przestępstwa wykonywane w tzw. „białych kołnierzykach” i tym przestępstwom musimy przeciwdziałać.

  22. Prezentacja systemu Serwer kwarantanny Logowanie poprawne Brak zalogowania lub nieprawidłowe hasło MailServer Stacja klienta Zapora sieciowa Web Server Zarządzanie HP IDM, PCM+

  23. Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej • Opcja podstawowa • Logowanie zdarzeń związanych z pracą systemów bezpieczeństwa: zapór sieciowych, systemów IPS • Archiwizacja logów zdarzeń • Przygotowywanie zbiorczych raportów bezpieczeństwa systemów dla personelu administracyjnego i kadry zarządzającej • Przekazywanie informacji o nowych zagrożeniach infrastruktury informatycznej wraz z propozycją działań zapobiegawczych • Opcja rozszerzona • Zakres opcji podstawowej • Wykonywanie na zlecenie odbiorcy rekonfiguracji struktury w ramach wdrożonych funkcjonalności • Rozszerzanie funkcjonalności w oparciu o specjalne dedykowane ceny • Wykonywanie niezbędnych uaktualnień elementów wchodzących w skład systemu bezpieczeństwa • Przygotowywanie koncepcji rozwoju infrastruktury bezpieczeństwa • Poddawanie systemu okresowym audytom • Backup i archiwizacja konfiguracji • Aktualizacja dokumentacji oraz procedur administracyjnych

  24. Infrastruktura sieciowa • Połączenia przewodowe • HP - switche • Cisco – switche/rutery • Juniper - rutery • Połączenia bezprzewodowe • Redline Communications - WiMAX • HP ProCurve - WiFi ATM FR PPP SDH Ethernet FDDI TokenRing USB FireWire RS-232 LPT DSL ISDN LAN PAN WAN MAN 3G WCDMA GPRS EDGE WiMAX 802.16 Broadband Bluetooth RFID Wi-Fi 802.11

  25. WAN WAN Bezpieczeństwo systemów i aplikacji sieciowych • Zapory sieciowe - firewall • Check Point / Crossbeam, HP • Juniper NetScreen • Wykrywanie i zapobieganie włamaniom - IPS • Juniper NetScreen-IDP • Check Point InterSpect • ISS Proventia G • Kontrola kontekstowa – AV gateway • eSafe Aladdin • VirusWall Trend Micro • F-Secure • Bezpieczeństwo transmisji – VPN • Juniper Neoteris • Check Point Connectra • Analiza powłamaniowa – IFS • Niksun NetDetector Użytkownicy zdalni Użytkownicy zdalni Użytkownicy lokalni Instytucje zewnętrzne IPS Serwery aplikacyjne IPS Zapory IPS Zapora Zapory WebServer MailServer IPS AV Gateway Zarządzanie

  26. Bezpieczeństwo „końcówki” • System operacyjny i aplikacje • Zarządzanie • Check Point Integrity • Novell ZEN Works • Szyfrowanie zasobów (dysków i partycji) • SafeBoot • Ochrona antywirusowa • Trend Micro • Audyt i monitorowanie • Katapulta • Użytkownik • Uwierzytelnianie • RSA Authentication Manager (ACE/Server) • ActivIdentity (dawny ActivCard) • Wheel CERB • Pojedyncze logowanie • ActivIdentity SecureLogin

  27. Usługi dodatkowe • Konsulting • Realizacja długofalowych koncepcji rozwoju IT • Doradztwo w zakresie doboru odpowiedniej technologii i implementacji • Przygotowywanie analiz i specyfikacji wymagań systemów bezpieczeństwa IT • Serwis i wsparcie techniczne • Serwis standardowy i rozszerzony • Diagnoza przyczyny i miejsca awarii • Naprawa sprzętu, oprogramowania i przywrócenie funkcjonalności systemu • Nadzór eksploatacyjny i wsparcie techniczne • Konsultacje telefoniczne • Pomoc eksploatacyjna w pierwszych tygodniach użytkowania • Instalacja nowych wersji oprogramowania • Monitoring systemów informatycznych • Pro-aktywne śledzenie systemów • Reakcja na potencjalnie mające wystąpić problemy i awarie • Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej

  28. Usługi internetowe – zarządzanie i dostępność • Systemy poczty elektronicznej • Postfix • SunONE Messaging Server • Zarządzanie http – EIM (Employee Internet Management) • WebSense • BlueCoat • Squid • Sterowanie dostępem i pasmem • Sterowanie pasmem – QoS/kompresja • Rutery i zapory sieciowe • Juniper WX • Podział obciążenia • Nortel Application Switch and VPN Gateway – Alteon load balancer + SSL terminator • Radware Application Switch • Juniper DX

  29. Jak zrealizować system ochrony?… • Analiza wymagań • specyfikacja założeń ilościowych • specyfikacja założeń funkcjonalnych • Dobór optymalnego rozwiązania • Wybór technologii • Wybór platformy sprzętowej • Określenie rodzaju implementacji • Specyfikacja wymagań zamówienia • Prace projektowe • Projekt lub dokumentacja wykonawcza • Harmonogram wdrożenia • Wdrożenie • Dostawa sprzętu i oprogramowania • Wykonanie prac instalacyjno-konfiguracyjnych • Kontrola jakości • Prace powdrożeniowe • Szkolenie personelu administracyjnego • Dokumentacja powykonawcza • Procedury eksploatacyjne • Wsparcie powdrożeniowe • Serwis i utrzymanie • Wsparcie i serwis rozwiązania w ramach wdrożonej funkcjonalności • Wsparcie rozwiązania obejmujące nadzór nad rozwiązaniem i jego rozwój • Wizyty konsultacyjne w miejscu wdrożenia

  30. Infrastruktura sieciowa – Redline RedMAX • WiMAX – co to jest? • Pasma • Licencjonowane pasmo 3,5 GHz (3,4-3,6GHz) • Nielicencjonowane pasmo 5,8 GHz (w Polsce zdyskwalifikowane przez duże ograniczenie mocy) • Przyszłość: 3,6-3,8 GHz (w Polsce został już rozpisany przetarg – unieważniony) • Technologia • Standard IEEE 802.16 definiuje PHY (radio) i protokół transmisji warstwy drugiej, 802.16e – mobilny standard obejmujący karty dla urządzeń przenośnych • Zakres częstotliwości: 2 – 66 GHz • OFDM – kluczowa technologia ze względu na obszar wysokiej zabudowy • Certyfikacja: WiMAX Forum Certified • Standardy pracy: PTP (w celu retransmisji sysgnału) i PMP (w celu dystrybucji sygnału) • Urządzenia • AN100 • Pierwsze na świecie urządzenie zgodne z 802.16 - certyfikowane • PTP i PMP w paśmie 3.3-3.8 GHz • Kanały 3.5, 7 i 14 MHz • Dane (>50 Mbps net/14 MHz) + TDM (do 8 E1/T1 portów) • QoS do wspierania 5 poziomów SLA, 1000s service flows per sektor • OFDM • Klasyfikacja L2/L3 i VLAN tagging/management • Wspiera uwierzytelnianie i szyfrowanie (128 bit) • SUO • Certyfikowany przez WiMAX Forum CPE (Interoperable)3.4-3.6 GHz • Interfejsy: Ethernet (PoE) + (E1/T1, VoIP, or POTS) • Praca bez widoczności optycznej (Robust OFDM) • Dynamiczne Quality of Service (QoS) • Bezpieczny (AES, DES) • Zarządzenie poprzez scentralizowany system

  31. Katapulta Audyt, Zarządzanie Podatnościami, Analiza logów

  32. Katapulta - zastosowania • Audyt wewnętrzny • „Compliance check” • Sarbanes-Oxley (SOX) • ISO 17799 • ISO 27001 • Weryfikacja procesu „patch management” • Inspektor bezpieczeństwa • Zarządzanie podatnościami • Identyfikacja brakujący poprawek • Identyfikacja niebezpiecznych konfiguracji • Integrator • Pomoc przy opracowywaniu polityki bezpieczeństwa dla systemów Windows NT i nowszych • Administrator • Identyfikacja brakujących poprawek

  33. Skaner lokalny vs sieciowy • Skaner lokalny dostarcza rzeczywistych informacji o podatnościach i poprawkach • Skaner lokalny nie musi „zgadywać” na podstawie ruchu sieciowego czy system jest podatny • Skaner lokalny ma dostęp do wszystkich elementów konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa • Skaner lokalny może przeprowadzać testy w sposób bezpieczny dla systemu • Skaner lokalny jest szybszy podczas skanowania systemu • Skaner lokalny umożliwia skanowanie loków

  34. Katapulta – doskonałe narzędzie dla audytorów • Stworzone przez audytorów dla audytorów i inżynierów bezpieczeństwa • Stale rozwijany • Nie wymaga instalacji • Skanuje tylko to co naprawdę chcemy kontrolować • Niezwykle szybki w działaniu • Umożliwia porównywanie raportów

  35. Katapulta Naciśnij „Scan” aby rozpocząć test

  36. Niebezpieczne serwisy

  37. Analiza praw dostępu i struktury IIS

  38. Niebezpieczna konfiguracja

  39. Zainstalowane aplikacje

  40. Zainstalowane hotfixy

  41. Analiza i statyski logów

  42. Polityki

  43. Polityki

  44. Co będzie w wersji 2.5? • Katapulta Exploit Manager • Zewnętrzne modułu zawierającego gotowe do użycia exploity • Exploity lokalne i zdalne • Automatyzacja testów penetracyjnych • Zdalne skanowanie sieciowe • Automatyczne aktualizacje

  45. WAN WAN Bezpieczeństwo systemów sieciowych – Juniper Networks Użytkownicy zdalni Użytkownicy zdalni Użytkownicy lokalni Instytucje zewnętrzne Serwery aplikacyjne WebServer Serwery bazodanowe MailServer Zarządzanie

  46. Dlaczego jest dużo do zrobienia?… • IDC – Konferencja Roadshow CEE 2005 • Do 2008 roku w regionie Europy Centralnej i Wschodniej najszybciej będą rosły wydatki na usług związane z bezpieczeństwem IT; systemy zarządzania treścią, zapory ogniowe oraz systemy autoryzacji i uwierzytelniania użytkowników. Zainteresowaniem cieszyć się będą także dedykowane urządzenia z wbudowanym oprogramowaniem obsługującym bezpieczeństwo. • W Polsce, w porównaniu z krajami takimi jak Czechy, Węgry czy Słowacja, o wiele mniej wydaje się na usługi związane z bezpieczeństwem IT. Stosunek wydatków na usługi do wydatków na oprogramowanie wynosi 30 do 70. W innych krajach regionu Europy Środkowej i Centralnej jest niemal dokładnie odwrotnie. • System bezpieczeństwa jest tak silny jak jego najsłabsze ogniwo.

  47. Definicje • Firewall – Security Gateway System • Kompleksowy system kontroli ruchu pomiędzy różnymi funkcjonalnie segmentami sieci IP • Zapewnia budowę bezpiecznych kanałów VPN w oparciu o sieci publiczne • Zarządzanie dostępnym pasmem transmisyjnym • IPS –Intrusion Prevention System • Popularnie zwany in-line IDS, bądź IPS • Wykrywa i przeciwdziała intruzom • Loguje i powiadamia o wykryciach i reakcji na nie • AV – Antivirus Gateway System • Niezależny system poddający bezpośredniej kontroli zawartości ruch powszechnie stosowanych w sieci Internet protokołów • IFS –Intrusion Forensic System • Często mylone z IDS’ami, znane także pod nazwą NFAT (Network Forensisc Analysis Tool) • Poddaje logowaniu i archiwizacji całość ruchu sieciowego • Na podstawie zebranych informacji generuje raport

More Related