IT Services

přístup k aplikaci mající přístup k vyhrazeným informacím musíbýt zvlášťschválen.
– Přistupuje-li třetíosoba k vnitrofiremním službám musíbýt autorizována firemním
managementem, souběžněse zajištěním pouze nezbytněnutných přístupových práv.
square4 Vzdálený přístup pro zaměstnance
– Vzdálený přístup do firemní sítě musí být prováděn výhradněschváleným způsobem.
square4 Varování
– Při přihlášenído vnitrofiremnísítě musíbýt zobrazeno varování a poučení.
square4 Uživatelskézdroje
– Poskytovatel služby musínastavit počáteční zabezpečeníprostředkůposkytnutých uživatelům.
– Aplikace a datová úložistěumožňujícíuživatelům správu přístupových práv k vlastním zdrojům,
musíobsahovat nástroj umožňujícítuto správu vykonávat.
IBM IDC Brno
©2003 IBM Corporation22 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Ochrana a utajeníinformací
square4 Ochrana informací
– Je souborem technických a procedurálních opatření majících za účel zabránit
neautorizovanému přístupu k chráněným firemním datům, k osobním
informacím zaměstnanců, obchodních partnerů, zákazníkůči návštěvníků
webů.
– Média obsahujícísensitivní data musíbát řádněoznačena.
square4 Zbytkovéinformace
– Je třeba zajistit nečitelnost zbytkových utajovaných či osobních dat způsobem
vhodným pro danémédium.
square4 Šifrování
– Firemní informace platnépro nepublikovanétechnologie, obchodníplány,
neveřejnéfinančníinformace a osobníinformace jako čísla kreditních karet,
finančníči zdravotnízáznamy, musíbýt zakryptovány, jsou-li posílány skrze
internet.
IBM IDC Brno
©2003 IBM Corporation23 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Spolehlivost a dostupnost služeb
square4 Správa systémových zdrojů
– Systémovézdroje musíbýt chráněny před běžnými uživateli..
– Oprávněníběžného uživatele musíbýt založeny na jeho pracovních potřebách, kteroužto určíposkytovatel služby
nebo vlastník aplikace.
square4 Škodlivý kód
– Je nezbytnémít aktivnítechnicképrostředky zabraňujícíšířenía spouštěníškodlivého kódu.
– Vývojáři aplikacímusíposkytnout písemnéujištění, že provedli antivirový test jako součást závěrečných testů.
square4 Monitorováníslabin
– Dle typu sítěje třeba zvolit nástroje, pravidelnost a rozsah monitorováníslabin TCP/IP.
square4 Varovný systém bezpečnostních záplat
– Je třeba nastavit proces ke včasnéinstalaci záplat poskytnutých varovným systémem.
– Je třeba upgradovatOS na podporovaný OS s ohledem na konec podpory pro danou versiOS. Tento upgrade lze
odložit při prodlouženépodpoře bezpečnostních záplat.
square4 Modifikace softwaru
– Veškerémodifikace aplikačního softwaru musíbýt schváleno firemním managementem a instalace takového software
musíprojít schvalovacím procesem.
square4 Dostupnost služeb
– Je nezbytnémít aktivnítechnicképrostředky zabraňujícíútoku vyřazujícím službu (DoS atack)
– Je nezbytnémít aktivnítechnicképrostředky detakujícía zabraňujícíneomezený počet neúspěšných pokusůo
přihlášeníse ke službě.
– Je nezbytnémít proces pro detekci a zpracovánísystematického útoku.
IBM IDC Brno
©2003 IBM Corporation24 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 NastaveníAuditu
square4 U systémů, aplikací, datových úložišť, síťových zařízení, kde je technický možnéprovést přihlášeníje
nutnépořídit záznam pro:
– Úspěšný a neúspěšný pokus o přihlášení
– Modifikaci systémových prostředků(nelze aplikovat na aplikace a datováúložiště)
– Pokus o čtenísystémových zdrojů, kterébudou označeny jako výjimka. (nelze aplikovat na aplikace a datová
úložiště)
– Pokus spustit systémovézdroje, kterébudou označeny jako výjimka. (nelze aplikovat na aplikace a datováúložiště)
– Veškeréaktivity provedenés authoritousecurityadministratora.
– Úspěšnépriřazenía uvolněníIP adresy. (nelze aplikovat na aplikace a datováúložiště)
square4 Pro vnitrofiremníslužby je nutnépořídit záznam pro:
– Veškerépokusy o vzdálený přístup do vnitrofiremnísítě.
– Vnitrofiremnílogy nesmíbýt uloženy na systémech určených pro poskytováníslužeb zákazníkům.
square4 Záznamy auditu musíobsahovat datum, čas, typ a identifikaci uživatele
square4 Záznamy auditu musíbýt uschovány po 60 dní.
IBM IDC Brno
©2003 IBM Corporation25 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Test zdraví-Health checking
– Je nezbytnéprovádět test zdraví–healthchecking–v pravidelných
intervalech.
square4 Test technickéčásti
– Test technickéčásti je třeba provádět v pravidelných intervalech
(například pro případ katastrof)
square4 Ověřeníbezpečnostních postupů
– Bezpečnostní postupy musíbýt pravidelněověřovány na
reprezentativních vzorcích (z hlediska systémůa lokací)
square4 Vnitropodnikováatestace a certifikace
– Způsob a provedení testůa kontrol musíbýt změněno, kdykoliv je
změněna služba.
– Je nutnéprovádět roční recertifikaci pro veškerévnitrofiremníslužby.
IBM IDC Brno
©2003 IBM Corporation26 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Reportovánía řízeníbezpečnostníincidentů
square4 Je třeba kontaktovat zodpovědnéosoby a informovat je o:
– Kontaktníosoby za vedenía za technickou oblast.
– Popis problému, rozsah systémůči dat ježbyly zasaženy incidentem, jižprovedenéaktivity.
square4 Je třeba okamžitěvytvořit záznam obsahujícíveškeréinformace týkajícíse incidentu. Ke každé
informaci je nutnéuvést datum a čas. (Pro takový záznam je plnědostačujícípapírováforma)
square4 Technický support musízačít aktivity ke zmírněnínásledků, bez zbytečného zpoždění.
square4 Zodpovědnéosoby poskytnou informace a instrukce jak postupovat.
square4 Je špatné:
– Provádět vyšetřovánína vlastnípěst. Rizikem může být předčasnéprozrazenívyšetřovánínebo ovlivnění
záznamů.
– Kontaktovat osoby či společnosti podezřeléze zaviněníincidentu, bez přímého pokynu zodpovědné osoby.
– Pokusit se vrátit útok útočníkovi (jeho systému). Takovéjednáníse snadno ocitne za hranicízákona.
– Pokusit se vyčistit (odstranit data), bez přímého pokynu zodpovědnéosoby. Rizikem by mohla být ztráta dat
nutných pro odhalenípříčiny.
IBM IDC Brno
©2003 IBM Corporation27 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Správa fyzického přístupu
square4 Fyzickáochrana a systémůa sítí
– Systémováa síťovázařízenímusíbýt chráněna před
poškozením a krádeží.
– Každý vstup do chráněnéoblasti musíbýt zabezpečen.
square4 Fyzickáochrana a inventarizace médií
– Média obsahujícíklíčovádata, zálohy, data určenápro
uchování a D/R musíbýt fyzicky chráněny před
neautorizovaným přístupem, krádežía poškozením.
– Chráněnáknihovna médiímusíbýt překontrolována nejméně
jednou ročně.
IBM IDC Brno
©2003 IBM Corporation28 IS/IT outsourcing services -VUT FI 2.3.2007
Interní a zákaznické bezpečnostístandardy
square4 Operačnísystémy
– AIX Platformy
– Linux Servery
– Microsoft Windows 2000 Servery
– Microsoft Windows NT Servery
– Novell Netware
– Na OS/2 založenéOS
– OS/400 Platformy
– zOS, OS390 a MVS Platformy
– z/VM and VM Platformy
– VMWareESX/GSX Server
– Microsoft Windows Server 2003
square4 Aplikačnísoftware/middleware
– ApacheWeb Servery
– DB2 UniversalDatabase
– Lotus Domino Servery
– Netview
– OS/2 LAN Servery
– WebsphereApplicationServer
– SSH Servery
– Samba
square4 Síťováinfrastruktura
– Local Area Network (LAN) zařízení
– Wireless zařízení
– Firewally
square4 Hlasováinfrastruktura
– AvayaMedia Server
– Cisco Call Manager
– Call Management System
square4 Ostatnísíťověpřipojitelná
zařízení
– Tiskovázařízení
– Průmyslovázařízení
– Vzdálenéterminály
IBM IDC Brno
©2003 IBM Corporation29 IS/IT outsourcing services -VUT FI 2.3.2007
Interníprocesy v rámci servisníorganizace
square4 Příklady funkčních standardů:
– ITCS204 –Bezpečnostnípravidla pro poskytovatele sítía služeb
– ITCS329 – Bezpečnostnípříručka proOutsorcované internetovéslužby
– GSD331 –Bezpečnostnířízení pro zákazníky strategického outsorcingu
– GSD332 -IGS IT bezpečnostnístandardy pro On-Demand Data Center
Services (ODCS)
– ISO/IEC 17799:2005 Ucelený soubor IT bezpečnostních pravidel založení
na osvědčených zkušenostech.
IBM IDC Brno
©2003 IBM Corporation30 IS/IT outsourcing services -VUT FI 2.3.2007
Interníprocesy v rámci servisníorganizace
square4 Proces je
–dlouhodobý
–událostmi řízený
–strukturovaná posloupnost aktivit vyžadujíc určité
• Osoby
• Informace
• Technologie
square4 za účelem dosáhnout cíle.
Def. cíle
Účastník
1
Schvalovatel
1
Fond 1
Schůze 1
Výsledek
IBM IDC Brno
©2003 IBM Corporation31 IS/IT outsourcing services -VUT FI 2.3.2007
Interní procesy v rámci servisníorganizace
Internet
ISP
Provided
Access Router
Internet Access
Packet Filter
Internet Server
Firewall Firewall
Firewall
Intranet
Data Access
Application
server Data/Support
server
IHP Internet Hosting Provider
ICO Internet Content Owner
Red Zone (or Internetaccess LAN)
square4Under physical control of ISP
square4No security control
Yellow Zone (or Internet server LAN)
square4Under physical control of Vendor
square4Separated from Intranet by Firewall
square4Separated from Red zone at least by
Packet filter
Green Zone (or
Internet server LAN)
square4Under physical
control of Vendor
square4Separated from
Yellow by Firewall
Internet user
IBM IDC Brno
©2003 IBM Corporation32 IS/IT outsourcing services -VUT FI 2.3.2007
Interní procesy v rámci servisníorganizace
square4 Fyzickábezpečnostníkontrola
–Prostory
–Zařízení
–Tisky
–Zodpovědnost pouze za vlastníprostory, nikoliv za
prostory zákazníka
IBM IDC Brno
©2003 IBM Corporation33 IS/IT outsourcing services -VUT FI 2.3.2007
Interní procesy v rámci servisníorganizace
square4 Kryptování
–Symetrické šifrování, používá stejný klíčpro zakryptování
i pro dekryptování. Příkladem může být 56-bitový DES či
168-bitový Trojnásobný DES a nebo 128-bit IDEA.
–Asymetrické šifrování, pomocíveřejného a soukromého
klíče. Například 768-bit RSA či Diffie-Hellman
–Pro oba způsoby je třeba zajistit řízeníživotního cyklu
klíče, jako vytvoření, distribuce, ověření, update, uložení,
používání a také expirace.
IBM IDC Brno
©2003 IBM Corporation34 IS/IT outsourcing services -VUT FI 2.3.2007
IBM IDC Brno
©2003 IBM Corporation35 IS/IT outsourcing services -VUT FI 2.3.2007
Diskuze
IBM IDC Brno
IS/IT outsourcing services -VUT FI 2.3.2007 ©2006 IBM Corporation
IS/IT outsourcing services – part 3
Ing. Milan Jedlička
IBM IDC Brno
©2003 IBM Corporation2 IS/IT outsourcing services -VUT FI 2.3.2007
Obsah
square4 Vybrané pojmy v IT
square4 Heterogenní prostředí a vzdálená administrace
IBM IDC Brno
©2003 IBM Corporation3 IS/IT outsourcing services -VUT FI 2.3.2007
Obsah
square4 Vybrané pojmy v IT
– Záloha a obnovenídat
– RAID
– UPS a záložnínapájení
– Cluster
– NAS
– SAN
– ACL a uživatelskéúčty
– Auditing
– Kategorizace počítačů
– Transakce
– Dávkový soubor žije
IBM IDC Brno
©2003 IBM Corporation4 IS/IT outsourcing services -VUT FI 2.3.2007
Záloha a obnovenídat
square4 Požadavky
– Zálohy musíbýt chráněny před zneužitím.
– Odolnost vůči chybám během zálohování/obnovy
– D/R plán
– Řízenáobnova dat
– Organizace uložených dat
– On-line zálohy databází(SAP,DB2,ORACLE)
– Informovánío chybách
square4 Producenti špičkového SW na zálohu dat
– HP, SUN, IBM, Legato, Veritas, CA
IBM IDC Brno
©2003 IBM Corporation5 IS/IT outsourcing services -VUT FI 2.3.2007
Záloha a obnovenídat
square4 Úplná záloha
– Náročnéna zdroje
– Snadnéobnovení
square4 Rozdílová záloha
– Záloha dat jen od poslední úplnézálohy
– S množstvím záloh roste čas zálohy
– K obnoveníje třeba jedna úplnázáloha a poslední rozdílová
square4 Přírůstková záloha
– Záloha dat jen od poslední zálohy (jakékoliv)
– Rychléa maléobjemy dat
– Pro obnoveníje třeba jedna úplnázáloha a všechny přírůstkové
zálohy.
IBM IDC Brno
©2003 IBM Corporation6 IS/IT outsourcing services -VUT FI 2.3.2007
Záloha a obnovení dat
square4 Záloha na disková média
– Až desítky TB
– Vysokádostupnost dat
square4 Záloha na pásková média
– Doplněno o diskovámédia
emulujícípáskovámédia
– Tisíce pásek
– Tisíce TB ( např.: 5616TB u
IBM 3494)
– Až stovky čteček
– Až několik TB diskového
prostoru
– Nejlepšízařízeníobsluhovány
robotem
IBM IDC Brno
©2003 IBM Corporation7 IS/IT outsourcing services -VUT FI 2.3.2007
RAID
square4 Redundant Array of Independent Disks
square4 Stripping
–Data jsou rozdělena na malé kousky a uložena rovnoměrně po
discích (zvyšuje rychlost přístupu)
square4 Mirroring
–Data jsou ukládána na dva identické disky zároveň
square4 Parita
–Dodatečná data k ukládaným datům zvyšující šanci na jejich
obnovu.
IBM IDC Brno
©2003 IBM Corporation8 IS/IT outsourcing services -VUT FI 2.3.2007
RAID
square4 RAID 0
– Využíváobyčejný stripping.
– Vysokárychlost zápisu a čtení dat
– Nezmenšuje se celkový objem disků
– Žádná ochrana dat
square4 RAID 1
– Využívámirroring.
– Velmispolehlivé
– Polovičníobjem pole
– Vysokárychlost čtení (oba disky pracujísoučasně)
square4 RAIDy 2, 3 a 4
– Používajíparitu.
– Pro opravnádata mají vyčlenění disky
– Vysokávytíženost diskůs opravnými daty limituje výkon systému.
square4 RAID 5
– Používáparitu.
– Na část disku k datům ukládácizíparitní informace.
square4 RAID 6
– Používáparitu.
– Na část disku k datům ukládácizíparitní informace.
– Používádva různéparitní algoritmy současně
IBM IDC Brno
©2003 IBM Corporation9 IS/IT outsourcing services -VUT FI 2.3.2007
UPS a záložní napájení
square4 Přepěťová ochrana
square4 Stabilizátory
square4 UPS Uninterruptible Power Supply
– Zařízení určené k poskytnutíčasu ke korektnímu vypnutí a nebo k nahozenízáložních zdrojů.
– off-line standby system (zůstávajívýchylky napětí, zapne se při kritické hodnotě).
– off-line line-interactive system (hlídá i napěťové odchylky a je schopen je kompenzovat)
– on-line (zařízení je neustále napájeno UPS a to se dobijíze sítě)
square4 Klíčové parametry
– Doba spínání( možnost
sledování problému od začátku do konce, RCA
© 2003 IBM Corporation11 SSO pro FI MU 6/4/2008
IBM IDC Brno
eESM
© 2003 IBM Corporation12 SSO pro FI MU 6/4/2008
IBM IDC Brno
Problémy zasahující mimo scope SSO
square4 Eskalace na další týmy v rámci IDC
– NSD – síťové problémy
– Last level support – řešení kritických situací
zasahujících celý OS
– Development – vývojáři aplikací
– OSS – řešení HW problémů
© 2003 IBM Corporation13 SSO pro FI MU 6/4/2008
IBM IDC Brno
OSS – On Site Support
square4 V rámci datacenter (či na straně zákazníka)
– Správa HW, pásek atd.
– „Vzdálené ruce“
© 2003 IBM Corporation14 SSO pro FI MU 6/4/2008
IBM IDC Brno
Pásky
square4 Všechny zálohy na pásky
square4 Správa pásek outsourcovaná
square4 Maximální zabezpečení (citlivá data)
© 2003 IBM Corporation15 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
© 2003 IBM Corporation16 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Historie
square4 1988 –uvedení AS/400 na trh
square4 1992 –prodáno již 200.000 kusů
square4 1994 –nové PowerPC procesory, 250.000 ks
square4 1996 –AS/400 podporuje Internet
square4 1998 –každých 12 minut prodán jeden AS/400
square4 2000 –AS/400e –pro e-business
square4 2001 –prodán tehdy nejvýkonnější iSeries –eServer 840 –
pro World Access –účtování telefonních poplatků pro 100
milionů hovorů denně
© 2003 IBM Corporation17 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Výhody:
square4 LIC –Licenced Internal Code
square4 Škálovatelnost
square4 Spolehlivost
square4 Otevřenost (možno provozovat Linux, Unix, Windows…)
square4 Výkon on demand
square4 Nativní podpora DB2, Javy
square4 Particovatelnost
square4 Clustering a HA
square4 Security
© 2003 IBM Corporation18 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Současnost
square4 i5 520 –paměť až 32 GB, disk až 39 TB, výkon 600 -7100
CPW (POWER5+ procesory)
square4 i5 550 -paměť až 64 GB, disk až 77 TB, výkon 3800 -14000
CPW
square4 i5 570 -paměť až 512 GB, disk až 193 TB, výkon 8400 -58500
CPW
square4 i5 595 -paměť až 2 TB, disk až 381 TB, výkon 13600 -184000
CPW
CPW (Commercial Processing Workload) –jednotka udávající, jak se systém
vyrovnává s workloadem komerčních aplikací
© 2003 IBM Corporation19 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Vzdálená správa
square4 Telnet
square4 iSeries Navigator
square4 HMC console
square4 PC Anywhere
© 2003 IBM Corporation20 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Telnet
© 2003 IBM Corporation21 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Telnet
square4 Výhody
–Možnost pracovat téměř se všemi prostředky, rychlost
square4 Nevýhody
–Chybí možnost práce s některými prostředky
–User unfriendly
© 2003 IBM Corporation22 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
iSeries Navigator
© 2003 IBM Corporation23 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
iSeries Navigator
square4 Výhody
–Práce se všemi prostředky, grafické rozhraní
square4 Nevýhody
–Chybí možnost práce s joby, pomalost
© 2003 IBM Corporation24 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
HMC + PC anywhere
square4 Připojení přímo k systémové konzoli
square4 Potřeba v restricted modu, během IPL
© 2003 IBM Corporation25 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
High Availability
square4 Možnost použít několik řešení
square4 Standardně 2 systémy, jeden replikovaný na
druhý, pokud jeden spadne, druhý přebírá jeho
funkci (buď každý svoje diskové pole, možnost i
společného SAN)
© 2003 IBM Corporation26 SSO pro FI MU 6/4/2008
IBM IDC Brno
iSeries
Zdroje:
square4 http://www-
03.ibm.com/ibm/history/documents/index.html
square4 http://www-03.ibm.com/systems/i/
© 2003 IBM Corporation27 SSO pro FI MU 6/4/2008
IBM IDC Brno
Dotazy
© 2003 IBM Corporation28 SSO pro FI MU 6/4/2008