Tietojärjestelmän tietoturva pitää huomioida kokonaisuutena
Jaettaessa tietoa julkiseen Internet-verkkoon tai käsiteltässä luottamuksellisia tietoja intranet- tai extranet-palveluissa julkaisujärjestelmän tietoturvaan pitää pystyä luottamaan. Minkä tahansa tietojärjestelmän tietoturvaa tulisi aina tarkastella kokonaisuutena. Suomen valtiohallinnon VAHTI-tietoturvaohjeissa tietoturvallisuuden kehittämistoimet on jaettu kahdeksaan osa-alueeseen.
1. Hallinnollinen tietoturva (organisaation tietoturvapolitiikka, resursointi)
2. Henkilöstöturvallisuus (käyttöoikeudet, koulutus)
3. Fyysinen turvallisuus (konesalitilan fyysinen suojaus)
4. Tietoliikenneturvallisuus (tietoliikenteen eheyden, luottamuksellisuuden ja käytettävyyden varmentaminen)
5. Ohjelmistoturvallisuus (käyttöjärjestelmän ja sovellusten turvallisuus)
6. Tietoaineistoturvallisuus (tiedon luokittelu ja elinkaaren hallinta)
7. Käyttöturvallisuus (työkäytännöt, tapahtumien valvonta)
8. Laitteistoturvallisuus (luotettavat laitteet, huoltosopimus)
Crasmanagerin tietoturva rakentuu kerroksittain
 |
| Tietoturvakonsultointiyhtiö Nixu Oy on myöntänyt Crasmanager 5.2 -julkaisujärjestelmälle tietoturvasertifikaatin, joka on osoitus tuotteen korkeasta tietoturvatasosta. |
Crasmanagerin tietoturvallisuuteen on panostettu jatkuvasti ohjelmiston yli kymmenen vuoden kehityskaaren aikana. Esimerkiksi hallinnoijakäyttäjien tunnistaminen voidaan tunnus-salasanaparin lisäksi tehdä kaksikerroksisesti avaimenperässä kulkevan Crasmanager-turva-avaimen avulla. Kirjautuminen verkkopalvelun sisällönhallintaan edellyttää tunnuksen ja salasanan lisäksi kertakäyttöistä koodiavainta, joka syötetään tietokoneen USB-porttiin kytkettävästä Crasmanager-turva-avaimesta painamalla. Lisäksi verkkopalvelujen sisällönhallinnassa on mahdollista käyttää vahvaa SSL-salausta. Osoituksena julkaisujärjestelmän korkeasta tietoturvatasosta Crasmanager on tietoturvasertifioitu kolmannen osapuolen toimesta.
Crasmanager käyttää sovellusalustanaan avoimeen lähdekoodiin perustuvaa LAMP-infrastruktuuria, joka on yksi Internetin käytetyimmistä sovellusalustoista. Sovellusalusta vahvistetaan vakioiduilla turva-asetuksilla, joihin lukeutuvat muun muuassa käyttöjärjestelmän ja palvelinsovellusten oikeusmäärittelyt sekä palomuuriasetukset.
- Dokumentoidusti vahvistettu käyttöjärjestelmä
- Käyttöjärjestelmän ja ohjelmistojen tietoturvapäivitykset
- Julkaisujärjestelmän hallinnoijien kaksinkertainen tunnistautuminen
- Selaimen hallinnointiyhteyksien (SSL) ja etäylläpitoyhteyksien (SSH) salaaminen
- Virustorjunta palvelinkäyttöjärjestelmässä
- Tietoturvasertifioitu tietoturva-arkkitehtuuri
Luotettavat laite-, konesali- ja valvontapalvelut
Vakioitu Crasmanager-palvelinympäristö on sijoitettu TeliaSoneran tytäryhtiön Crescomin konesaleihin, jotka on rakennettu huomioiden korkean käytettävyyden ja tietoturvan vaatimukset. Tietoliikenneyhteydet on kahdennettu ja sähkönsyötölle on rakennettu varajärjestelmät. Fyysisestä tietoturvasta on huolehdittu murtosuojatuilla rakenteilla, kameroin varustetulla kulunvalvonnalla ja lukittavilla laitekaapeilla. Palvelinkeskukset täyttävät kaikki Viestintäviraston tietoliikennekeskuksille määrittelemät standardit.
Pääsynvalvonta toteutetaan palomuureilla, salatuilla yhteyksillä ja käyttäjähallintaprosesseilla. Tietojen tallentaminen hoidetaan erillisillä varmistusjärjestelmillä ja eheys varmistetaan virustorjunnalla. Palvelimien turvallisuus varmistetaan myös ennakoivalla verkkohyökkäysten valvonnalla ja välittömällä reagoinnilla havaittuihin uhkiin.
- A-luokan laitetilat (Viestintävirasto 48B/2004M: Tärkeät tilat" ja "Erittäin tärkeät tilat")
- Palvelintilojen 24/7 olosuhde- ja kulunvalvonta
- Keskeytymätön varmistettu virransyöttö
- Säännölliset on-site ja off-site varmistukset
- Kaksitasoinen palomuuri (SPI, IDS & IPS)
- Verkkoliikenteen jatkuva monitorointi
Kerromme mielellämme lisää Crasmanagerista!
