Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Määritelmiä – Tietoliikenteen & tietokoneen tietoturva Tietoturva palvelutKuvaus Tunnistus (Authentication) Varmistaa, että kukin on se kuka tai mikä väittää olevansa. Koskee niin henkilöitä kuin tietoalkoita (kuten sanomia). Kulunvalvonta (Access Control) Suojelee luvattomalta sisäänpääsyltä. Luottamuksellisuus (Confidentiality) Varmistaa että vain ne, kenellä on oikeus näkevät tiedot. Eheys (Integrity) Turvaa, ettei tietoa voida muuttaa salaa ilman lupaa. Kiistämättömyys (Non- repudiation) Tarjoaa todisteen tapahtumasta niin, ettei joku osapuolista voi jälkikäteen virheellisesti kiistää sitä (esim. Kauppatapahtuma). Ford & Baum 1997
Määritelmiä – Tietoliikenteen & tietokoneen tietoturva Tietoturva palvelut Perinteinen varmistuskeinoSähköinen varmistukeino Tunnistus (Authentication) Kuvallinen henkilökortti, henkilökohtaiset kysymykset (mikä on äitisi tyttönimi) Sähköinen tunniste Kulunvalvonta (Access Control) Lukot ja avaimet, pääavain (yhteinen kaikille), vahtimestari / kulunvalvonta Roolit (roles) ja valtuudet (privileges ) Luottamuksellisuus (Confidentiality) Sinetöity kirje, läpinäkymätön kirjekuori, näkymätön muste Salaus kuten SSL Eheys (Integrity) Pysyvä (=häviämätön) muste, hologrammi (kuten rahassa ja luottokortissa) Sähköinen allekirjoitus Kiistämättömyys (Non-repudiation) Vahvistettu allekirjoitus (notaarin vahvistama), kirjattu kirje Sähköinen allekirjoitus Ford & Baum 1997
Määritelmiä Henkilöllisyys (=identity) kertoo kuka sinä olet – Käyttäjätunnus, sertifikaatti (DN) – Kuvallinen henkilökortti Tunnistus (=authentication) kertoo kuka yrittää käyttää tietoa tai sovellusta – Salasana (jotain, mitä vain sinä tiedät) – Vahva tunnistus (älykortti, tms. + pin-koodi) – Avain lukkoon
Määritelmiä - jatkuu Luvitus (=authorization) kertoo, onko käyttäjällä oikeus tekemiseensä, hakemaansa tietoon tai sovellukseen – Käyttäjätunnus sovellukseen – Ajokortti – 007 – license to kill Tietoturva (=security) on prosessi, ei mikään tuote tai ominaisuus 100% turvallisuus käytännössä mahdotonta saavuttaa
Käyttäjätunnuksiin liittyviä haasteita Käyttäjät menettävät aikaa miettiessään tunnuksiaan ja salasanojaan – paljon eri tunnuksia eri formaatissa – joka tunnukseen oma salasana, muotovaatimukset ja vanheneminen erilaiset Salasanojen alustaminen (reset) kuormittaa helpdeskiä runsaasti Käyttäjät kirjoittavat tunnukset ja/tai salasanat paperille JA jättävät ne työpöydälleen Sovelluksissa salasanat pahimmillaan talletettuna SELVÄKIELISENÄ
Määritelmiä SSO = Single Sign-On, eli kertakirjautuminen ja keskitetty tunnistuspalvelu Tavoitteena – helpottaa käyttäjien toimintaa (vähentää käyttäjien tuskaa) – vähentää tarvetta tunnusten ja salasanojen kirjaamiselle paperille (tai sähköiseen muistioon) – vähentää helpdesk:n tunnuksiin liittyvää kuormitusta – parantaa tietoturvaa – vähentää hallinnointiin liittyviä kustannuksia
Tietoturvan anatomiaa Järjestelmät pohjautuvat monikerros- arkkitehtuuriin – monta kohtaa, joissa tieturvaa voidaan yrittää loukata – monta tapaa, joilla se voidaan tehdä
SSO,OiD Sovelluspalvelin Käyttäjän selain Web-palvelin DB DB DB DB Sovellukset Käyttäjän muut ohjelmat: SQL*Plus C-ohjelma Jne.
Oracle Security Architecture Oracle Internet Directory OracleAS Certificate Authority Directory Integration & Provisioning OracleAS Single Sign-on Delegated Administration Services OracleAS 10 g JAAS, WS Security Java2 Permissions.. Oracle E-Business Suite Responsibilities, Roles …. Oracle 10g Enterprise users, VPD, Encryption Label Security Oracle Collaboration Suite Secure Mail, Interpersonal Rights … Access Management Directory Services Provisioning Services External Security Services Oracle Identity Management Oracle 10 g Platform Security Bindings OracleAS Portal & Wireless Roles, Privilege Groups … Application Component Security OracleAS 10g JAAS, WS Security Java2 Permissions.. Oracle 10g Enterprise users, VPD, Encryption Label Security OracleAS 10 g JAAS, WS Security Java2 Permissions.. Oracle 10 g Database Enterprise users, VPD, Encryption, Label Security Enterprise Security Infrastructure
Identity Management in Oracle 10 g Oracle Internet Directory Directory Synchronization Provisioning Integration Delegated Administration AS 10 g Single Sign-On Oracle Certificate Authority LDAP standard repository for identity information Integration with other directories (e.g. ADS, iPlanet) Automatic provisioning of users in the Oracle environment Self service administration tools for managing identity information across the enterprise Single sign-on to web applications Issue and manage X.509v3 compliant certificates to secure and network connections
Agenda Määritelmiä Case Valio: Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
SSO,OiD Sovelluspalvelin Selain Sovellus (esim. Portaali) DB DB DB DB 1. Käyttäjä kutsuu sovellusta (URL) 2. Sovellus etsii sovellusevästettä ja kun ei löydä sitä delegoi pyynnön sso-palvelimelle tunnistusta varten 3. Uudelleenohjaa tunnistusta varten koska ei löydy SSO:n evästettä 4. Anna käyttäjätunnus ja salasana 5. Välitä tunnus ja salasana SSO:lle 6. SSO tarkistaa käyttäjän antamat tiedot hakemistopalvelimelta (OiD) l. hakee käyttäjän DN-tiedon ja suorittaa ldapbind-operaation annetulla salasanalla 7. SSO asettaa oman istuntokohtaisen evästeen käyttäjän selaimeen 8. Ohjataan takaisin kutsuttuun sovellukseen 9. Aseta sovelluseväste käyttäjän selaimeen
iasdb HTTP Server mod_oc4j orasso mod_plsql ods oidldapd
Agenda Määritelmiä Case Valio: – Taustaa – Tekoja – Tulevaisuutta Muita mietelmiä
Mietelmiä Tietoturvan haasteena on yrityksen oma toimintatapa, prosessit, henkilöt ja kulttuuri – ei niinkään teknologia Kaikki mikä on yrityksen sisäverkossa koetaan turvalliseksi – Myytti: hakkerit aiheuttavat suurimmat tietovuodot ja ongelmat – Fakta: yli 60% tietovuodoista aiheutuu yrityksen oman henkilöstön toimesta Auditointi on tehokas ”uhka” tietomurron estämiseksi (yrityksen omat työntekijät)
A Q & Q U E S T I O N S A N S W E R S