BIULETYN INFORMACJI PUBLICZNEJ W ADMINISTRACJI PASTWOWEJ I URZDACH
BIULETYN INFORMACJI PUBLICZNEJ W ADMINISTRACJI PAŃSTWOWEJ I URZĘDACH CENTRALNYCH "Strategie ochrony, metod dostępu, archiwizacji i składowania danych z zasobów Biuletynu Informacji Publicznej” Marek Pogoda, Jerzy M. Zaczek Warszawa, 4 czerwiec 2003
Do czego jesteśmy zobowiązani … (podstawa prawna działania) (…)
Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa
Stała kontrola bezpieczeństwa sieciowego • automatyczne testy penetracyjne • niezwłoczne wdrażanie wniosków po testach • „polityka bezpieczeństwa” • systemy detekcji intruzów • … etc, …
Stała kontrola bezpieczeństwa sieciowego (cd. ) Automatyczne testy penetracyjne • zewnętrzny, wyczerpujący test odporności sieci i systemów komputerowych na większość znanych rodzajów ataków, • wyniki testów penetracyjnych zawierają cenne informacje dotyczące aktualnego poziomu zagrożeń bezpieczeństwa sieci, • baza danych Automatycznego Testu Penetracyjnego uaktualniana codziennie, • usługa nie powoduje zaburzeń pracy systemów i usług,
Stała kontrola bezpieczeństwa sieciowego (cd. ) Automatyczne testy penetracyjne – wyniki testów
Stała kontrola bezpieczeństwa sieciowego (cd. ) Automatyczne testy penetracyjne – wyniki testów
Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa
Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. • Amerykańska firma giełdowa (Nasdaq: WGRD), założona w Seattle w 1996 roku • Światowy lider rynku firewalli oraz rozwiązań VPN, zabezpieczeń dla systemów typu desktop oraz serwer, dostawca security support • Producent wielokrotnie nagradzanych, certyfikowanych przemysłowo rozwiązań z dziedziny IT Security. • Obsługuje ponad 70, 000 firm w ponad 100 krajach na całym świecie • Posiada globalna sieć VAR-ów oraz ddystrybutorów We design peace of mind for businesses worldwide.
Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd. ) Zabezpieczanie sieci • Firebox® System • Firebox ® Vclass • Rapid. Stream™ Secured by Check Point ® Zabezpieczenia serwerów • Server. Lock™ • App. Lock™ /Web Zabezpieczenia stacji roboczych • Mobile User VPN • Personal firewall • Mc. Afee® Virus. Scan ASa. P Zarządzanie bezpieczeństwem • Watch. Guard for MSS
Antywłamaniowe zabezpieczenia serwerów Oprogramowanie Server. Lock™
Antywłamaniowe zabezpieczenia serwerów (cd. ) Oprogramowanie Server. Lock™ -> Dual Mode „A” System Administrator Operation request Administration Tools
Antywłamaniowe zabezpieczenia serwerów (cd. ) Oprogramowanie Server. Lock™ -> Dual Mode „O” System Administrator Operation request Administration. Tools
Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa
Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd. ) Zabezpieczanie sieci • Firebox® System • Firebox ® Vclass • Rapid. Stream™ Secured by Check Point ® Zabezpieczenia serwerów • Server. Lock™ • App. Lock™ /Web Zabezpieczenia stacji roboczych • Mobile User VPN • Personal firewall • Mc. Afee® Virus. Scan ASa. P Zarządzanie bezpieczeństwem • Watch. Guard for MSS
Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd. ) Rapid. Stream – Secured by Check Point Firebox VCLASS Firebox III
Rozwiązania dla MAŁYCH I ŚREDNICH INSTYTUCJI: FIREBOX SYSTEM APPLIANCES Firebox® 4500 Centrale dużych firm Przepustowość: 197 mbps firewall, 100 mbps 3 DES Firebox® 2500 Średnie /małe firmy Przepustowość: 197 mbps firewall, 70 mbps 3 DES Firebox® 1000 Średnie /małe firmy Przepustowość: 185 mbps firewall, 55 mbps 3 DES Firebox® 700 Małe firmy Przepustowość: 131 mbps firewall, 5 mbps 3 DES Firebox® SOHO 6 i SOHO 6 tc Oddziały terenowe lub samodzielne małe biura Idealny VPN endpoint; do 50 użytkowników
DLACZEGO WATCHGUARD FIREBOX SYSTEM? 1. Oferuje bogaty zestaw filtrów kontekstowych (proxy) 2. Upraszcza zarządzanie sieciami VPN (tworzenie tuneli VPN odbywa się w trzech prostych krokach; nowy Mobile User VPN klient) 3. Oferuje bezpieczne, zdalne zarządzanie bezpieczeństwem i logging 4. Upraszcza inwestycje oraz zwiększa jej bezpieczeństwo przez dostarczenie firewalla, obsługi VPN, filtracji kontekstowej i ochrony anty-wirusowej zintegrowanych w jednym urządzeniu 5. Stosuje polityki zabezpieczeń do ludzi — nie do maszyn
Rozwiązania dla DUŻYCH INSTYTUCJI I URZĘDÓW CENTRALNYCH: FIREBOX VCLASS APPLIANCES Firebox® V 100 Duże korporacje Internetowe, centra obliczeniowe, ISP Przepustowość: 600 mbps firewall, 300 mbps 3 DES; 20, 000 tuneli VPN Firebox® V 80 Duże firmy Internetowe Przepustowość: 270 mbps firewall, 150 mbps 3 DES; 8, 000 tuneli VPN Firebox® V 60 Średnie i duże firmy, Przepustowość: 200 mbps firewall, 100 mbps 3 DES; 400 tuneli VPN Firebox® V 10 Oddziały terenowe lub samodzielne małe biura Idealny VPN endpoint; 10 do 25 użytkowników Przepustowość: 75 mbps firewall, 20 mbps 3 DES
DLACZEGO WATCHGUARD FIREBOX VCLASS? 1. Oferuje wysoką efektywność technologii ASIC 2. Zapewnia skalowalność VPN 3. Posiada zaawansowane funkcje sieciowe – – Multi-tenant security Dynamiczny ruting Zarządzanie ruchem (Qo. S) Balansowanie obciążenia serwerów 4. Zapewnia zarządzanie bezpieczeństwem poprzez – Bezpieczne transmisje – Monitoring w czasie rzeczywistym 5. Oferuje konkurencyjne wskaźniki „price/performance”
Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa
Trwałe i pojemne archiwum danych to: Niezawodne urządzenia pamięci dyskowej Serwery plików typu NAS (Network Attached Storage) oparte na systemie Linux Najważniejsze zalety: • szybkość, niezawodność i wysoki poziom dostępności • współpraca z dowolną platformą systemową • autoryzacja dostępu Przykłady: • Tandberg Data Storage. Cab 12 S (poj. 1. 7 TB, dyski hotswap, Flash Linux) • Snap Server 14000 (poj. 2 TB, dyski hotswap, Guardian. OS, snapshot)
Trwałe i pojemne archiwum danych to: Niezawodne urządzenia pamięci taśmowej Podstawowe zalety: • eliminacja błędów i zaniedbań ze strony czynnika ludzkiego • możliwość zdalnego zarządzania i monitorowania • szybka i bezbłędna lokalizacja zrzutu gdy zachodzi potrzeba jego odtworzenia Przykłady: Quantum|ATL M 1500 Tandberg SDLT Autoloader Pojemność: 3. 2 TB 10 kaset SDLTape 1 napęd SDLT 320 Pojemność: 6. 4 TB 20 kaset SDLTape 2 napędy SDLT 320
Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa
Zautomatyzowane kopie bezpieczeństwa Warunki skutecznego zabezpieczenia danych: • Pewny nośnik: taśmy o zapisie liniowym SDLT, LTO, SLR • Niezawodne urządzenia do zautomatyzowanej obsługi nośników: auto-loadery i biblioteki taśmowe • Dobre i funkcjonalne oprogramowanie: – centralnie zarządzające kopiami bezpieczeństwa w skali jednostki/przedsiębiorstwa – obsługujące dowolną platformę systemową i bazodanową – współpracujące z szeroką gamą urządzeń Przykłady oprogramowania: Net. Worker Open View Omniback
Zautomatyzowane kopie bezpieczeństwa (cd. ) Cechy funkcjonalne Disk. Xtender UNIX/Linux • automatyczna migracja danych z dysku na taśmy i dyski magneto-optyczne • zwielokrotnione zabezpieczenie każdego pliku - replikacja na kilku nośnikach (ew. w różnych lokalizacjach) • sieciowy system plikowy – wygodny i transparentny dostęp z poziomu różnych platform systemowych • mechanizm trashcan - zabezpieczenie przed omyłkowym usunięciem zbiorów • standardowe mechanizmy dostępu (FTP i NFS), nie wymagające instalacji specjalizowanego oprogramowania
Zautomatyzowane kopie bezpieczeństwa (cd. ) HSM - hierarchiczne systemy składowania danych Lokalizacja systemów HSM zainstalowanych przez firmę CCNS • • Akademickie Centrum Komputerowe CYFRONET AGH Poznańskie Centrum Superkomputerowo-Sieciowe Wrocławskie Centrum Sieciowo-Superkomputerowe Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej Trójpoziomowa struktura pamięci masowych: • dyski twarde dyski magneto-optyczne taśmy magnetyczne Zaawansowana technologia oprogramowania zarządzającego Hierarchicznym składowaniem danych: • Legato Disk. Xtender UNIX/Linux Bogata funkcjonalność i szeroka gama zastosowań: • archiwizacja danych dowolnego typu, pliki dowolnych rozmiarów • symultaniczne tworzenie kilku kopii na odrębnych nośnikach • jednoczesna obsługa wielu strumieni danych z kopii bezpieczeństwa
Zautomatyzowane kopie bezpieczeństwa (cd. ) Struktura systemu HSM w ACK CYFRONET AGH
BIULETYN INFORMACJI PUBLICZNEJ W ADMINISTRACJI PAŃSTWOWEJ I URZĘDACH CENTRALNYCH "Strategie ochrony, metod dostępu, archiwizacji i składowania danych z zasobów Biuletynu Informacji Publicznej” Dziękujemy za uwagę ! Marek Pogoda, Jerzy M. Zaczek Warszawa, 4 czerwiec 2003
- Slides: 33