Bezpieczeństwo internetowych witryn informacyjnych administracji
Transkrypt
Bezpieczeństwo internetowych witryn informacyjnych administracji
Bezpieczeństwo internetowych witryn informacyjnych administracji rządowej GOV.PL Małgorzata Olszewska 1 Stan bezpieczeństwa witryn GOV.PL Mimo podjętych działań przez MAiC i CERT.GOV.PL w ostatnich latach stan bezpieczeństwa informacyjnych witryn internetowych administracji rządowej jest niski: Stan bezpieczeństwa przebadanych witryn Ilość stron Bardzo dobry poziom bezpieczeństwa 31 Średni poziom bezpieczeństwa 39 Niski poziom bezpieczeństwa 25 Rok 2011 - Statystyka wykrytych podatności w witrynach WWW należących do administracji publicznych według poziomu zagrożenia 2 Badanie ankietowe 2012 Szacunkowy poziom bezpieczeństwa Akceptowalny Występują ryzyka Krytyczny 6 • • • • 68 15 Objęto badaniem 90 instytucji W przypadku aż 15 z nich poziom bezpieczeństwa witryn jest krytyczny co może skutkować łatwym atakiem lub awarią serwisu (np. brak procedur awaryjnych, audytów) Tylko w 6 przypadkach można mówić o właściwym poziomie bezpieczeństwa technicznego i organizacyjnego Tylko dla 18 serwisów zostały wdrożone procedury na wypadek awarii czy ataku 3 Cel rekomendacji • Osiągnąć minimalny akceptowalny poziom bezpieczeństwa dla serwisów GOV.PL w poszczególnych instytucjach. • Ujednolicić wymagania jakościowe i bezpieczeństwa dla wszystkich portali administracji rządowej. • Zdefiniować rodzaje serwisów i odpowiadające im wymagania w zakresie dostępności, integralności i poufności. 4 5 Rekomendacje - wytyczne to nie tylko nakazy, ale także wsparcie w zakresie budowy bezpiecznych portali administracji rządowej. 6 Projekt wymagań brzegowych Wymagania dla serwisów internetowych w domenie GOV.PL Łącze DOSTĘPNOŚĆ Redundancja Zasilanie Sprzęt Active-Active Passive-Active Active-Active Passive-Active Active-Active Passive-Active Łącze Skalowalność Sprzęt Wirtualizacja Wdrożenie rozwiązań rozproszonych w trybie Chmura on-demand Rev-proxy + round-robin Wydajność INTEGRALNOŚĆ Serwowanie wersji dynamicznej (frontend+baza danych)/wersji statycznej (czysty html) w zależności od obciążenia systemu i łącza offline Centrum zapasowe online Okresowa (częsta) weryfikacja zapisów treści (sumy kontrolne) Odpowiednia konfiguracja praw dostępu tylko odczyt (wersja statyczna) serwisu serwera WWW minimalne prawa dostępu do baz (wersja dynamiczna) Uwierzytelnianie dokumentów krytycznych dla obywatela Brzegowe rozwiązania bezpieczeństwa (IPS/IDS/AV/FW) Strefowanie systemu z zachowaniem minimalnych praw Wewnętrzne rozwiązania bezpieczeństwa (IPS/IDS/AV/FW) Wdrożenie sondy ARAKIS-GOV POUFNOŚĆ Kontrola integralności serwisu na potrzeby użytkownika poprzez możliwość przełączenia połączenia na https weryfikowalne przy pomocy certyfikatu umiejscowionego w drzewie akredytowanym przez przeglądarkę Połączenie szyfrowane Przechowywanie danych w formie zaszyfrowanej Konta użytkowników zarządzających treścią 1 2 3 4 5 6 logowanie użytkowników uprzywilejowanych logowanie użytkowników zewnętrznych przesyłanie informacji przez uż. zewnętrznych dane do logowania informacje od uż. zewnętrznych tylko dla pracowników jednostki dostępne tylko z określonych adresów IP prosta publikacja informacji o jednostce dynamiczna, informacyjna strona www BIP strona zawierająca informacja dla obywateli stanowiące podstawę ich dalszych działań (np. formularze) strona zawierająca dynamiczne formularze, które po wypełnieniu stanowią podstawę działań po stronie jednostki strona zawierająca dwustronny system wymiany informacji jednostka <-> obywatel Klasa serwisu / witryny 1 2 3 4 5 6 7 O O O O O - O O O O O O - O X O X O X O O X O - - O O O X X O X X O X X O X O O X X O O O O X X X X X X X X X X X X X - - - - O X X X X - X - X X - - X X X X - O X O X X O X X X X X X X X X X X X X X X X X X X X X X X X X X X X O X X X X X X X X O X X X X X X X X X X X X X X X X X X X X X X X X X X O O 8 O Opcjonalne X Zalecane - Nie dotyczy 7 Dziękuję za uwagę 8