BIULETYN INFORMACJI PUBLICZNEJ W ADMINISTRACJI PAŃSTWOWEJ I URZĘDACH CENTRALNYCH "Strategie ochrony, metod dostępu, archiwizacji i składowania danych z zasobów Biuletynu Informacji Publicznej” Marek Pogoda, Jerzy M. Zaczek Warszawa, 4 czerwiec 2003 Do czego jesteśmy zobowiązani … (podstawa prawna działania) (…) (…) (…) Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa Stała kontrola bezpieczeństwa sieciowego • automatyczne testy penetracyjne • niezwłoczne wdrażanie wniosków po testach • „polityka bezpieczeństwa” • systemy detekcji intruzów • … etc, etc, … Stała kontrola bezpieczeństwa sieciowego (cd.) Automatyczne testy penetracyjne • zewnętrzny, wyczerpujący test odporności sieci i systemów komputerowych na większość znanych rodzajów ataków, • wyniki testów penetracyjnych zawierają cenne informacje dotyczące aktualnego poziomu zagrożeń bezpieczeństwa sieci, • baza danych Automatycznego Testu Penetracyjnego uaktualniana codziennie, • usługa nie powoduje zaburzeń pracy systemów i usług, Stała kontrola bezpieczeństwa sieciowego (cd.) Automatyczne testy penetracyjne – wyniki testów Stała kontrola bezpieczeństwa sieciowego (cd.) Automatyczne testy penetracyjne – wyniki testów (…) (…) Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. • Amerykańska firma giełdowa (Nasdaq: WGRD), założona w Seattle w 1996 roku • Światowy lider rynku firewalli oraz rozwiązań VPN, zabezpieczeń dla systemów typu desktop oraz serwer, dostawca security support • Producent wielokrotnie nagradzanych, certyfikowanych przemysłowo rozwiązań z dziedziny IT Security. • Obsługuje ponad 70,000 firm w ponad 100 krajach na całym świecie • Posiada globalna sieć VAR-ów oraz ddystrybutorów We design peace of mind for businesses worldwide. Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd.) Zabezpieczanie sieci • Firebox® System • Firebox ® Vclass • RapidStream™ Secured by Check Point ® Zabezpieczenia serwerów • ServerLock™ • AppLock™ /Web Zabezpieczenia stacji roboczych • Mobile User VPN • Personal firewall • McAfee® VirusScan ASaP Zarządzanie bezpieczeństwem • WatchGuard for MSS Antywłamaniowe zabezpieczenia serwerów Oprogramowanie ServerLock™ Antywłamaniowe zabezpieczenia serwerów (cd.) Oprogramowanie ServerLock™ -> Dual Mode „A” System Administrator Operation request Administration Tools Antywłamaniowe zabezpieczenia serwerów (cd.) Oprogramowanie ServerLock™ -> Dual Mode „O” System Administrator Operation Operation request request Administration AdministrationTools Tools (…) (…) Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd.) Zabezpieczanie sieci • Firebox® System • Firebox ® Vclass • RapidStream™ Secured by Check Point ® Zabezpieczenia serwerów • ServerLock™ • AppLock™ /Web Zabezpieczenia stacji roboczych • Mobile User VPN • Personal firewall • McAfee® VirusScan ASaP Zarządzanie bezpieczeństwem • WatchGuard for MSS Antywłamaniowe zabezpieczenia serwerów i sieci Oferta WATCHGUARD TECHNOLOGIES Inc. (cd.) RapidStream – Secured by Check Point Firebox VCLASS Firebox III Rozwiązania dla MAŁYCH I ŚREDNICH INSTYTUCJI: FIREBOX SYSTEM APPLIANCES Firebox® 4500 Centrale dużych firm Przepustowość: 197 mbps firewall, 100 mbps 3DES Firebox® 2500 Średnie /małe firmy Przepustowość: 197 mbps firewall, 70 mbps 3DES Firebox® 1000 Średnie /małe firmy Przepustowość: 185mbps firewall, 55mbps 3DES Firebox® 700 Małe firmy Przepustowość: 131 mbps firewall, 5 mbps 3DES Firebox® SOHO 6 i SOHO 6tc Oddziały terenowe lub samodzielne małe biura Idealny VPN endpoint; do 50 użytkowników DLACZEGO WATCHGUARD FIREBOX SYSTEM? 1. Oferuje bogaty zestaw filtrów kontekstowych (proxy) 2. Upraszcza zarządzanie sieciami VPN (tworzenie tuneli VPN odbywa się w trzech prostych krokach; nowy Mobile User VPN klient) 3. Oferuje bezpieczne, zdalne zarządzanie bezpieczeństwem i logging 4. Upraszcza inwestycje oraz zwiększa jej bezpieczeństwo przez dostarczenie firewalla, obsługi VPN, filtracji kontekstowej i ochrony anty-wirusowej zintegrowanych w jednym urządzeniu 5. Stosuje polityki zabezpieczeń do ludzi — nie do maszyn Rozwiązania dla DUŻYCH INSTYTUCJI I URZĘDÓW CENTRALNYCH: FIREBOX VCLASS APPLIANCES Firebox® V100 Duże korporacje Internetowe, centra obliczeniowe, ISP Przepustowość: 600 mbps firewall, 300 mbps 3DES; 20,000 tuneli VPN Firebox® V80 Duże firmy Internetowe Przepustowość: 270 mbps firewall, 150 mbps 3DES; 8,000 tuneli VPN Firebox® V60 Średnie i duże firmy, Przepustowość: 200 mbps firewall, 100 mbps 3DES; 400 tuneli VPN Firebox® V10 Oddziały terenowe lub samodzielne małe biura Idealny VPN endpoint; 10 do 25 użytkowników Przepustowość: 75 mbps firewall, 20 mbps 3DES DLACZEGO WATCHGUARD FIREBOX VCLASS? 1. Oferuje wysoką efektywność technologii ASIC 2. Zapewnia skalowalność VPN 3. Posiada zaawansowane funkcje sieciowe – – – – Multi-tenant security Dynamiczny ruting Zarządzanie ruchem (QoS) Balansowanie obciążenia serwerów 4. Zapewnia zarządzanie bezpieczeństwem poprzez – Bezpieczne transmisje – Monitoring w czasie rzeczywistym 5. Oferuje konkurencyjne wskaźniki „price/performance” (…) (…) Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa Trwałe i pojemne archiwum danych to: Niezawodne urządzenia pamięci dyskowej Serwery plików typu NAS (Network Attached Storage) oparte na systemie Linux Najważniejsze zalety: • szybkość, niezawodność i wysoki poziom dostępności • współpraca z dowolną platformą systemową • autoryzacja dostępu Przykłady: • Tandberg Data StorageCab 12S (poj. 1.7 TB, dyski hotswap, Flash Linux) • Snap Server 14000 (poj. 2 TB, dyski hotswap, GuardianOS, snapshot) Trwałe i pojemne archiwum danych to: Niezawodne urządzenia pamięci taśmowej Podstawowe zalety: • eliminacja błędów i zaniedbań ze strony czynnika ludzkiego • możliwość zdalnego zarządzania i monitorowania • szybka i bezbłędna lokalizacja zrzutu gdy zachodzi potrzeba jego odtworzenia Przykłady: Quantum|ATL M1500 Tandberg SDLT Autoloader Pojemność: 3.2 TB 10 kaset SDLTape 1 napęd SDLT320 Pojemność: 6.4 TB 20 kaset SDLTape 2 napędy SDLT320 Najważniejsze aspekty bezpieczeństwa treści informacji (danych) … nie tylko w zasobach BIP stała kontrola bezpieczeństwa sieciowego antywłamaniowe zabezpieczenia serwerów antywłamaniowe zabezpieczenia sieciowe trwałe i pojemne archiwum danych zautomatyzowane kopie bezpieczeństwa Zautomatyzowane kopie bezpieczeństwa Warunki skutecznego zabezpieczenia danych: • Pewny nośnik: taśmy o zapisie liniowym SDLT, LTO, SLR • Niezawodne urządzenia do zautomatyzowanej obsługi nośników: auto-loadery i biblioteki taśmowe • Dobre i funkcjonalne oprogramowanie: – centralnie zarządzające kopiami bezpieczeństwa w skali jednostki/przedsiębiorstwa – obsługujące dowolną platformę systemową i bazodanową – współpracujące z szeroką gamą urządzeń Przykłady oprogramowania: NetWorker Open View Omniback Zautomatyzowane kopie bezpieczeństwa (cd.) Cechy funkcjonalne DiskXtender UNIX/Linux • automatyczna migracja danych z dysku na taśmy i dyski magneto-optyczne • zwielokrotnione zabezpieczenie każdego pliku - replikacja na kilku nośnikach (ew. w różnych lokalizacjach) • sieciowy system plikowy – wygodny i transparentny dostęp z poziomu różnych platform systemowych • mechanizm trashcan - zabezpieczenie przed omyłkowym usunięciem zbiorów • standardowe mechanizmy dostępu (FTP i NFS), nie wymagające instalacji specjalizowanego oprogramowania Zautomatyzowane kopie bezpieczeństwa (cd.) HSM - hierarchiczne systemy składowania danych Lokalizacja systemów HSM zainstalowanych przez firmę CCNS • • • • Akademickie Centrum Komputerowe CYFRONET AGH Poznańskie Centrum Superkomputerowo-Sieciowe Wrocławskie Centrum Sieciowo-Superkomputerowe Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej Trójpoziomowa struktura pamięci masowych: • dyski twarde dyski magneto-optyczne taśmy magnetyczne Zaawansowana technologia oprogramowania zarządzającego Hierarchicznym składowaniem danych: • Legato DiskXtender UNIX/Linux Bogata funkcjonalność i szeroka gama zastosowań: • archiwizacja danych dowolnego typu, pliki dowolnych rozmiarów • symultaniczne tworzenie kilku kopii na odrębnych nośnikach • jednoczesna obsługa wielu strumieni danych z kopii bezpieczeństwa Zautomatyzowane kopie bezpieczeństwa (cd.) Struktura systemu HSM w ACK CYFRONET AGH BIULETYN INFORMACJI PUBLICZNEJ W ADMINISTRACJI PAŃSTWOWEJ I URZĘDACH CENTRALNYCH "Strategie ochrony, metod dostępu, archiwizacji i składowania danych z zasobów Biuletynu Informacji Publicznej” Dziękujemy za uwagę ! Marek Pogoda, Jerzy M. Zaczek Warszawa, 4 czerwiec 2003