Bezpieczeństwo internetowych witryn informacyjnych administracji

Bezpieczeństwo
internetowych witryn informacyjnych
administracji rządowej
GOV.PL
Małgorzata Olszewska
1
Stan bezpieczeństwa witryn GOV.PL
Mimo podjętych działań przez MAiC i CERT.GOV.PL w ostatnich latach stan
bezpieczeństwa informacyjnych witryn internetowych administracji rządowej
jest niski:
Stan bezpieczeństwa przebadanych witryn
Ilość stron
Bardzo dobry poziom bezpieczeństwa
31
Średni poziom bezpieczeństwa
39
Niski poziom bezpieczeństwa
25
Rok 2011 - Statystyka wykrytych podatności w witrynach WWW
należących do administracji publicznych według poziomu zagrożenia
2
Badanie ankietowe 2012
Szacunkowy poziom
bezpieczeństwa
Akceptowalny
Występują ryzyka
Krytyczny
6
•
•
•
•
68
15
Objęto badaniem 90 instytucji
W przypadku aż 15 z nich poziom bezpieczeństwa witryn jest krytyczny co może skutkować łatwym atakiem
lub awarią serwisu (np. brak procedur awaryjnych, audytów)
Tylko w 6 przypadkach można mówić o właściwym poziomie bezpieczeństwa technicznego i organizacyjnego
Tylko dla 18 serwisów zostały wdrożone procedury na wypadek awarii czy ataku
3
Cel rekomendacji
• Osiągnąć minimalny akceptowalny poziom bezpieczeństwa
dla serwisów GOV.PL w poszczególnych instytucjach.
• Ujednolicić wymagania jakościowe i bezpieczeństwa
dla wszystkich portali administracji rządowej.
• Zdefiniować rodzaje serwisów i odpowiadające im
wymagania w zakresie dostępności, integralności
i poufności.
4
5
Rekomendacje - wytyczne to nie tylko
nakazy, ale także wsparcie w zakresie
budowy bezpiecznych portali administracji
rządowej.
6
Projekt wymagań brzegowych
Wymagania dla serwisów internetowych w domenie GOV.PL
Łącze
DOSTĘPNOŚĆ
Redundancja
Zasilanie
Sprzęt
Active-Active
Passive-Active
Active-Active
Passive-Active
Active-Active
Passive-Active
Łącze
Skalowalność
Sprzęt
Wirtualizacja
Wdrożenie rozwiązań rozproszonych w trybie Chmura
on-demand
Rev-proxy + round-robin
Wydajność
INTEGRALNOŚĆ
Serwowanie wersji dynamicznej (frontend+baza danych)/wersji statycznej (czysty html) w zależności od obciążenia
systemu i łącza
offline
Centrum zapasowe
online
Okresowa (częsta) weryfikacja zapisów treści (sumy kontrolne)
Odpowiednia konfiguracja praw dostępu
tylko odczyt (wersja statyczna)
serwisu serwera WWW
minimalne prawa dostępu do baz (wersja dynamiczna)
Uwierzytelnianie dokumentów krytycznych dla obywatela
Brzegowe rozwiązania bezpieczeństwa (IPS/IDS/AV/FW)
Strefowanie systemu z zachowaniem minimalnych praw
Wewnętrzne rozwiązania bezpieczeństwa (IPS/IDS/AV/FW)
Wdrożenie sondy ARAKIS-GOV
POUFNOŚĆ
Kontrola integralności serwisu na potrzeby użytkownika poprzez możliwość przełączenia połączenia na https
weryfikowalne przy pomocy certyfikatu umiejscowionego w drzewie akredytowanym przez przeglądarkę
Połączenie szyfrowane
Przechowywanie danych w formie
zaszyfrowanej
Konta użytkowników zarządzających treścią
1
2
3
4
5
6
logowanie użytkowników uprzywilejowanych
logowanie użytkowników zewnętrznych
przesyłanie informacji przez uż. zewnętrznych
dane do logowania
informacje od uż. zewnętrznych
tylko dla pracowników jednostki
dostępne tylko z określonych adresów IP
prosta publikacja informacji o jednostce
dynamiczna, informacyjna strona www
BIP
strona zawierająca informacja dla obywateli stanowiące podstawę ich dalszych działań (np. formularze)
strona zawierająca dynamiczne formularze, które po wypełnieniu stanowią podstawę działań po stronie jednostki
strona zawierająca dwustronny system wymiany informacji jednostka <-> obywatel
Klasa serwisu / witryny
1 2 3 4 5 6 7
O
O
O
O
O
-
O
O
O
O
O
O
-
O
X
O
X
O
X
O
O
X
O
-
-
O O
O X
X O X
X O X
X O X
O O
X X
O O
O O
X
X
X
X
X
X
X
X
X
X
X
X
X
-
-
- - O
X X X
X - X
- X X
- - X
X X X
- O X
O X X
O X X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
O
X
X
X
X
X
X
X
X
O
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
O O
8
O Opcjonalne
X Zalecane
- Nie dotyczy
7
Dziękuję za uwagę
8