Tietokannan tietoturva. Heli Helskyaho 20.3.2014 Tietoturva-aamupäivä, Oracle House

Samankaltaiset tiedostot
Tietokantojen hallinta

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

WINDOWSIN ASENTAMINEN

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Pilvipalveluiden arvioinnin haasteet

The Truth in Information

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

TIETOTURVA. Miten suojaudun haittaohjelmilta

Autentikoivan lähtevän postin palvelimen asetukset

Project-TOP QUALITY GATE

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Tietoturvavinkkejä pilvitallennuspalveluiden

Koetallennus Esa Kukkonen

Mikä on valuuttariski ja mitä sille voi tehdä

Directory Information Tree

Facta palvelimien uusiminen Helsingin kaupunki

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Opas tulostamisen kustannuksien vähentämiseen

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

AVOIMEN TUOTTEEN HALLINTAMALLIT. Kunnassa toteutettujen tietojärjestelmien uudelleenkäyttö. Yhteentoimivuutta avoimesti

Tikon ostolaskujen käsittely

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Ensimmäisessä vaiheessa ladataan KGU tietokanta Hallitse tietokantoja toiminnon avulla.

Paremmilla tiedoilla entistä parempaa hoitoa. Parempi kokonaisuus.

ICT-info opiskelijoille

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Asiakaspalveluprosessin kehittäminen jakelun vaikutuspiiriin kuuluvien asioiden osalta

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Miten voin selvittää säästömahdollisuuteni ja pääsen hyötymään niistä?

Tiedon suojaaminen ja hallinta. Sytyke seminaari

Rakennustuotteiden CEmerkintä,

FyKe-Mopin opettajanohje

Ti Tietoturvan Perusteet : Politiikka

Taitaja 2015 Windows finaalitehtävä

Maventa Connector Käyttöohje

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Integrointi. Ohjelmistotekniikka kevät 2003

UUDET TUULET. PAR -tietojärjestelmien nykytilanne ja kehittämismahdollisuudet Helsinki Tuulikki Nieminen / KYT ry

MS Aamubrunssi Aktiivihakemiston uutuudet

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Valokuvilla on väliä

Sessio 10: Sähköiset potilaspalvelut ja niiden kehittäminen Asiakaslähtöinen toiminta: Kansalaisen ja potilaan verkkopalvelut

Palveluiden henkilökohtaistaminen - Vaihtoehtona henkilökohtainen budjetointi. Vuorovaikutteisen osion koonti Lappeenranta 2.2.

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

ICT-info opiskelijoille

TIETOKONE JA VERKOT IT PC & NETWORK SUPPORT TAITAJA 2001 LAHTI TIETOKONELAITTEIDEN ASENNUS, KORJAAMINEN JA KONFIGUROINTI

Paikannuspalvelut WLAN-ympäristöissä

Tikon ostolaskujen käsittely

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Päätöksenteon mallit

ViLLE Mobile Käyttöohje

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

ICT-info opiskelijoille. Syksy 2017

IT-palvelujen ka yttö sa a nnö t

VISMA ECONET PRO ASP SOVELLUSVUOKRAUS. Page 1

Suomenkielinen versio. Johdanto. Laitteiston asennus. LC2002 Sweex Virtajohdon Ethernet-sovitin 200 Mbps

Esa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005

Yksinhuoltajana monikkoperheessä

Tuotetta koskeva ilmoitus

Kanta-palvelut vauvasta vaariin ja mummiin

Live demo miten tietomurto toteutetaan?

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

KOKO TOTUUS. Sisäilmahankkeen tiedottaminen Toimitusjohtaja Miika Natunen

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Työasema- ja palvelinarkkitehtuurit IC Storage. Storage - trendit. 5 opintopistettä. Petri Nuutinen

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen Storage IT varmuuskopiointipalvelun.

TIETOPAKETTI EI -KYBERIHMISILLE

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

Pikaopas. WiFi-kantaman laajennin N300 Malli EX2700

Paremmilla tiedoilla entistä parempaa hoitoa. Yhtenäiset potilastiedot. Terveydenhoito saa uudet mahdollisuudet käyttää tietojasi.

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Alustava liiketoimintasuunnitelma. Miksi alustava LTS? Ajattele vaikkapa näin. Hyvin suunniteltu on jo melkein puoleksi perustettu

Tietojärjestelmä tuotantoympäristössä. Sovellusohjelmat Helsingin ammattikorkeakoulu Stadia / Tekniikka ja liikenne Vesa Ollikainen

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

veta Nuori ja suojatut henkilötiedot

Kymenlaakson Kyläportaali

Tietoturvan haasteet grideille

Kuinka tasa-arvoinen ruotsinsuomalainen nainen/mies on kotona?

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Raporttiarkiston (RATKI) käyttöohjeet Ohjeet

KESKUSTELUJA KELASSA. Kansalaisopistot kotouttamisen tukena hanke/opetushallitus Kuopion kansalaisopisto

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Webinaariin liittyminen Skype for

Tiedonhallinnan perusteet. Viikko 1 Jukka Lähetkangas

Outlook Office 365. Tässä ohjeessa kuvataan miten sähköpostitili (IMAP) sekä Kotisivut.com Autentikoiva SMTPlisäpalvelu

TIETOTURVALLISUUDESTA

Datan hallinnan nykykäytännöt ja tulevaisuuden suunnitelmat Ville Tenhunen Helsingin yliopisto / Tietotekniikkakeskus

Tietotekniikkasopimukset. T Tietotekniikkaoikeus (2 ov) Olli Pitkänen

Transkriptio:

Tietokannan tietoturva Heli Helskyaho 20.3.2014 Tietoturva-aamupäivä, Oracle House

Lähde: IOUG:n käyttäjätutkimus IOUG tehnyt 2013 kyselytutkimuksen tietokannan tietoturvasta. Tässä esityksessä olevat tilastot (kuvat) pohjautuvat tähän (ladattavissa Oraclen sivuilta): DATA SECURITY: LEADERS VS. LAGGARDS 2013 IOUG ENTERPRISE DATA SECURITY SURVEY (By Joseph McKendrick, Research Analyst Produced by Unisphere Research, a Division of Information Today, Inc. December 2013)

Mikä on tietokanta? Se paikka, jossa kaikki yrityksen tärkeä ja kriittinen tieto on tallessa. On tietysti olemassa myös julkista tietoa, mutta tärkeintä on se salainen tieto...

Mitä on tietoturva? Tieto on turvassa sellaiselta taholta, jolle se ei kuulu. Tietoon pääsevät käsiksi vain ne, joille se kuuluu.

Miksi tietokannan tietoturva? Tietokannassa oleva tieto on yleensä yrityksen kallein omaisuus. Jos tieto pääsee vääriin käsiin: Kilpailijat saavat aiheetonta etua Asiakkaat suuttuvat Maine menee... Business saattaa loppua...

Mikä on tietovuoto? Tietoa on vuotanut sellaiselle taholle, jolla ei siihen ole oikeutta Vahingossa (esim. bensa-asema, suklaapatukka) Tarkoituksella (esim. erotettu työntekijä, rikollinen)

Mistä vuotaa?

Mistä uhka tulee?

Omat työntekijät suurin uhka? Miksi? Ovatko siis epäluotettavia... Ei Näkyy olan takaa -> Data redaction Lipsauttaa vahingossa (ihmisluonto) -> koulutus On tietoa, joka on kaikille sallittua ja sitten tietoa, joka on vain perustellusti jollekulle sallittua. Mistä tietää, mikä on salaista tietoa? -> koulutus, tiedotus Käyttää konetta suojaamattomassa verkossa, eikä kryptattu salasana (eikä data) -> kryptaus, koulutus Hukkaa koneen (tai kännykän tai muistitikun) -> salasanat, kryptaus, koulutus...

Tietokannan tietoturva, asennus Tietokannan tietoturva alkaa tietokannan asennuksesta Oletussalasanat Portti 1521 Oletusobjektit ja oikeudet Oletusasetukset yleensä...

Salasana Suojaa yleensä tietoa miten hyvin suojaa, kuinka hyvä salasana keillä tiedossa kuinka usein vaihdetaan (kovakoodaus tms., vanhat työntekijät yms) onko esim. kryptattu...

Käyttöoikeudet Mietittävä huolella Toteuttava suunnitellun mukaisesti Ylläpidettävä jatkuvasti (esim. lähtevät työntekijät, muuttuvat toimenkuvat) Onhan käyttöoikeudet toteutettu oikealle tasolle (jos esim. vain sovelluksessa, niin vaikkapa PL/SQL:llä ehkä kantaan pääseekin tekemään ihan muuta kuin pitäisi)

Tietokantojen määrä kasvaa

Tietokantojen määrä STAND BY TUOTANTO TESTIT DW TESTIT ERP TESTI

Tietokannan tietoturva, monet kannat Helpompi murtaa, kun on monta kantaa, jossa samaa tietoa. Joku niistä on varmasti huonommin suojattu. Konsolidointi?

Tietokannan tietoturva, monet kannat Hups. Olinkin tuotannossa...

Testikantojen lukumäärä

Testikantojen data

Tietokannan tietoturva, testikannat sama tieto kuin tuotannossa, onko muunnettu? Miksei? Vie liikaa aikaa On liian vaikeaa Meillä kaikilla on nda Meidän ihmiset ovat luotettavia Samoilla ihmisillä on kuitenkin pääsy tuotantoon jne jne jne...

Testikannat, miten maskattu? sama tieto kuin tuotannossa, onko muunnettu? (maskauksesta kaksi white paperia) tuotannossa valvonta, mutta testissä ei? Erilaiset dumpit levyn kulmalla?

Testikannat tuotannossa valvonta, mutta testissä ei? Erilaiset dumpit levyn kulmalla? Kenellä niihin on oikeus? Tietokantalinkit? Tiedon imeminen toiseen kantaan...

Tuotantokannat tarvitseeko dba oikeudet dataan? miksi niillä ihmisillä, joilla on oikeudet dataan, on ne? Tarvitsevatko oikeasti vai olisiko joku muu tapa olemassa tarpeen ratkaisuksi?

Ulkopuolinen tiedon anastus Luvaton sisäänkirjautuminen (monta rajapintaa...) Ulostulevan datan kaappaus (ei kryptattua) SQL-injektio

Tiedon liikuttelu, voiko silloin vuotaa?

SQL-injektio

Tietovuoto tapahtunut? Onko? Mistä tiedetään, että tietovuoto tai yritys on tapahtunut? Onko säännöllistä valvontaa (esim. lokien läpikäynti)?

Valvonta

Tietovuoto tapahtunut? Kuka? Mistä tiedetään, ketkä ovat mahdollisia vuotajia? Miten voidaan todistaa, että oma dba ei ole vuotaja?: dba:lla ei ole tietoon oikeutta tai voidaan osoittaa, ettei ole siihen koskenut (nähnyt)

Tietovuoto tapahtunut? Kuka? Mistä tiedetään, ketkä ovat mahdollisia vuotajia? Miten voidaan todistaa, että oma dba ei ole vuotaja?: dba:lla ei ole tietoon oikeutta tai voidaan osoittaa, ettei ole siihen koskenut (nähnyt)

Tietovuoto tapahtunut? Kuka?

Miten vuodosta toivutaan?

Onko tähän oikeasti varaa? Maailma pahempi joka päivä ja murtajat aina vaan näppärämpiä Estäminen välttämätöntä Havainnointi ja toipumisaika mahdollisimman pieneksi

Oma ratkaisu on aina paras ja halvin Onko? Oletko osannut varautua oikeisiin asioihin? Pystytkö muuttamaan tehtyä ratkaisua maailman muuttuessa? Onko ratkaisusi riittävästi testattu? Oletko huippuasiantuntija myös tietokannan tietoturvassa? Mitä itse tehty ratkaisu ja sen ylläpito maksaa? Mitä se maksaa, jos ratkaisu pettää?

Onko Oraclella valmiita ratkaisuja? Mitä noista asioista voidaan hoitaa Oraclen tuotteilla? Ovatko tuotteet niin kalliita, että meillä ei ole niihin varaa? Jukka?

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute