Back to top

Bezpečnost v IT

Správa identit a autentizace

Základem bezpečnosti informačního systému je kvalitní ověření identity pracovníka (autentizace), podle které následně proběhne přiřazení oprávnění ke zdrojům ICT/IS (autorizace). Nejběžnějším způsobem autentizace je použití hesel, které ovšem vyžaduje velmi dobře zvládnuté procesy generování i obměny hesel a nakládání s nimi (tzv. politiky).

Prvním nezbytným předpokladem je správná implementace adresářového systému Active Directory, počínaje optimální strukturou skupin, systému přidělování oprávnění v návaznosti na procesy řízení lidských zdrojů a systém ochrany aktiv. Nedílnou součástí je ale i proces správy adresáře ať už manuálně, anebo lépe s využitím formulářového řešení na intranetu, kde je i možnost automatického provedení požadovaných změn (zápisu do Active Directory) na základě pokynu např. pracovníka personálního oddělení. U větších zákazníků je možné provést integraci s informačním systémem HR.

Pro klíčové IT systémy a přístupy je zajištění pouze heslem nedostatečné a je potřeba implementovat bezpečnou vícefaktorovou autentizaci s využitím generátorů jednorázového hesla (tokenů anebo přes mobil), biometrických identifikátorů (např. otisku prstů) a infrastruktury PKI.

Komplexní řešení podnikových potřeb (nejen pro potřeby IT), vyžadujících pozitivní identifikaci, pokrývají čipové karty (tzv. SmartCard) anebo karty kombinované s čipem a pasivním obvodem RFID pro bezkontaktní kontrolu přístupu. Aplikace karet pokrývají širokou oblast nasazení: od identifikace do informačního systému, docházkový a stravovací systém, řízení přístupu do objektu (náhrada klíče), výdej materiálu apod. Dodáváme včetně integrace s ERP systémy a navazujícími aplikacemi dalších společností.

Součástí této problematiky je i otázka ověřování, zda stanice přistupující do sítě, splňují náležitosti dané bezpečnostní politikou (tzv. Network Acces Policies). Provádíme implementace příslušných NPS serverů, autentizaci na aktivních síťových prvcích dle standardu 802.1X a dalších subsystémů.

Naše řešení jsou založena platformě Microsoft s využitím na autentizačních systémů společností RSA a čipových kartách Gemalto.

Ochrana proti škodlivým kódům

Mezi nejběžnější všeobecné bezpečnostní útoky patří narušení viry či generování nevyžádaných mailů, tzv. spam. Dodáváme zejména řešení Intel McAfee pro ochranu souborových a poštovních aplikací, internetového rozhraní (datového toku) a koncových stanic, kde se uplatní i ochrana proti skrytým programům, tzv. addware a spyware. Užitečným řešením je i antimallwarová ochrana virtualizovaného prostředí serverů i VDI či databází vč. prostředí SharePoint. Nedílnou součástí implementace je zprovoznění centrální správy a režimu automatické aktualizace virových vzorků a systémových oprav.

Ochrana proti napadení

Cílený útok proti informačnímu systému je nejnebezpečnějším způsobem narušení. Je zpravidla veden proti rozhraní mezi interní podnikovou sítí a internetem a to jak anonymně (např. s cílem zahltit rozhraní), tak s cílem dosáhnout neoprávněné autentifikace. V neposlední řadě může být snaha o narušení vedena zevnitř společnosti oprávněným uživatelem, což představuje velmi často podceňované – ale o to větší riziko.

Systémy ochrany před napadením se z původně samostatných komponent řazených za sebe nově vyvinuly do dvou topologií:

  • Next Generation Firewall (NGFW) zahrnuje velmi výkonné hraniční prvky z množstvím funkcí, které pro specializované a na výkon náročné funkce (https inspekce, proxy, email filtrace) používají navíc specializované apliance SWG a SEG a
  • Unified Thread Management (UTM), což je all-in-one řešení s plnou funkčností v jediném boxu – vhodnější pro SMB/E oblast zhruba do tisíce uživatelů.

V naší nabídce jsou obě technologie řešení v případě NGFW od Cisco Systems a Intel McAfee, pro řešení UTM pak od firmy WatchGuard.

Zajištění důvěrnosti dat

Prudce rostoucí podíl mobilních koncových stanic (notebooků, handheldů) a přenosných paměťových zařízení (zejména flashdisky) eskaluje problematiku ochrany dat na těchto zdrojích pro případ neoprávněného přístupu či ztráty. Stejně tak rostoucí objem komunikace vedené elektronickými prostředky přes veřejné, nezabezpečené prostředí zvyšuje riziko, že někdo komunikaci např. e-mailem neoprávněně přečte případně i pozmění.

Proto máme v nabídce řešení šifrování dat na lokálních prostředcích i sdílených složkách, systémy ochrany před neoprávněnou manipulací, stejně jako řešení pro šifrovanou komunikaci pomocí elektronické pošty (PKI, certifikáty, digitální podpis).

Ochrana zdraví síťového prostředí

V rámci této problematiky řešíme zabránění či omezení přístupu koncových stanic do sítě tak, aby již na nejbližším aktivním prvku (přepínači, přístupovém bodu WiFi) došlo k ověření identity a ev. i způsobilosti pro práci v podnikové síti. Podle nastavených politik je možné přístup povolit buď jen na základě ověření identity uživatele v Active Directory, anebo zkontrolovat zda má instalované bezpečnostní aktualizace, funkční antivir či jiné atributy, které by mohly narušit zdraví síťového prostředí. Klient, který nebude splňovat nějakou z politik, bude přesměrován do karanténní sítě, kde bude buď sjednána náprava, nebo bude od sítě odpojen. Klient bez uživatelských oprávnění svého nebude mít vůbec přístup do sítě pro jakoukoliv komunikaci.

Řešení jsou založena na standardu IEEE 802.1X, konkrétní implementace pak na Microsoft NAP (Network Access Protection) anebo Cisco ISE (Identity Service Engine).