Um modelo de confiança para o ambiente de computação em nuvem

Este artigo apresenta uma proposta de um modelo de gestão contendo requisitos relacionados com a confiabilidade dos sistemas no ambiente de Computação em Nuvem (CN). A proposta teve como base uma revisão da literatura sobre os problemas, desafios e estudos que estão em curso relacionados com a segurança e confiabilidade de aplicações e Sistemas de Informações (SI) neste ambiente tecnológico. Nesta revisão bibliográfica são abordados os entraves e desafios atualmente existentes na visão de conceituados autores sobre o tema. Estas questões foram abordadas e estruturadas na forma de um modelo, denominado de “Modelo de Confiança para o ambiente de Computação em Nuvem”. Trata-se de uma proposta proativa que tem por objetivo organizar e discutir soluções de gestão para o ambiente de CN com uma maior confiabilidade para a operacionalização das aplicações de SI, tanto por parte dos provedores como também dos seus clientes.

A trust model for cloud computing environment

This paper presents a proposal for a management model based on reliability requirements concerning Cloud Computing (CC). The proposal was based on a literature review focused on the problems, challenges and underway studies related to the safety and reliability of Information Systems (IS) in this technological environment. This literature review examined the existing obstacles and challenges from the point of view of respected authors on the subject. The main issues are addressed and structured as a model, called "Trust Model for Cloud Computing environment". This is a proactive proposal that purposes to organize and discuss management solutions for the CC environment, aiming improved reliability of the IS applications operation, for both providers and their customers. On the other hand and central to trust, one of the CC challenges is the development of models for mutual audit management agreements, so that a formal relationship can be established involving the relevant legal responsibilities. To establish and control the appropriate contractual requirements, it is necessary to adopt technologies that can collect the data needed to inform risk decisions, such as access usage, security controls, location and other references related to the use of the service. In this process, the cloud service providers and consumers themselves must have metrics and controls to support cloud-use management in compliance with the SLAs agreed between the parties. The organization of these studies and its dissemination in the market as a conceptual model that is able to establish parameters to regulate a reliable relation between provider and user of IT services in CC environment is an interesting instrument to guide providers, developers and users in order to provide services and secure and reliable applications.

SICA2 : la experiencia de integración CRIS/RI en el ámbito regional de Andalucía

El proyecto SICA2, presentado por Beatriz Barros y Miguel Ángel Aguirre, de la Consejería de Economía, Innovación y Ciencia de la Junta de Andalucía, supone una innovadora extensión del concepto de CRIS universitario a un ámbito regional para el conjunto de las universidades andaluzas. El sistema de recogida y validación de la información científica en tiempo real se basa en una primera fase SICA que organiza la investigación en unidades mínimas o 'Grupos PAIDI' y que ya implementó el estándar CVN para las nueve universidades andaluzas que forman parte del proyecto. Esta segunda fase de integración tiene además prevista su prolongación en el repositorio institucional Reposit-AN de ámbito igualmente regional que se alimentará de los metadatos procedentes del sistema CRIS de la Junta de Andalucía y se presentará oficialmente a final de año.

El camino hacia la integración de sistemas de gestión de la información científica : el TCD (Trinity College Dublin) como estudio de caso. CERIF y euroCRIS

Pablo de Castro, Director de GrandIR, describió la visión que el Grupo euroCRIS tiene de la infraestructura integrada de gestión de la información científica, compuesta por un sistema CRIS institucional, un repositorio de publicaciones y un repositorio de datos y software, y presentó el modelo de infraestructura integrada del Trinity College Dublin (TCD) como estudio de caso internacional. El sistema CRIS del TCD (TCD Research Support System o RSS), desde su primera versión en 2002, está basado en el estándar CERIF, un modelo de descripción de la actividad científica que está adquiriendo una progresiva relevancia como base de los sistemas CRIS en Europa, particularmente en el Reino Unido. Se citaron en la presentación los ensayos para incorporar CERIF al modelo de datos del software ePrints de repositorios, habilitándolo así para soportar parte de las tareas de recolección de información que realiza un CRIS, y la progresiva cobertura de CERIF a ámbitos tales como la gestión de datos de investigación.

JXTAnonym: An anonymity layer for JXTA services messaging

With the evolution of the P2P research eld, new problems, such as those related with information security, have arisen. It is important to provide security mechanisms to P2P systems, since it has already become one of the key issues when evaluating them. However, even though many P2P systems have been adapted to provide a security baseline to their underlying applications, more advanced capabilities are becoming necessary. Speci cally, privacy preservation and anonymity are deemed essential to make the information society sustainable. Unfortunately, sometimes, it may be di cult to attain anonymity unless it is included into the system's initial design. The JXTA open protocols speci cation is a good example of this kind of scenario. This work studies how to provide anonymity to JXTA's architecture in a feasible manner and proposes an extension which allows deployed services to process two-way messaging without disclosing the endpoints'identities to third parties.

Towards secure mobile P2P applications using JXME

Mobile devices have become ubiquitous, allowing the integration of new information from a large range of devices. However, the development of new applications requires a powerful framework which simplifies their construction. JXME is the JXTA implementation for mobile devices using J2ME, its main value being its simplicity when creating peer-to-peer (P2P) applications on limited devices. On that regard, an issue that is becoming veryimportant in the recent times is being able to provide a security baseline to such applications. This paper analyzes the currentstate of security in JXME and proposes a simple security mechanism in order to protect JXME applications against a broad range of vulnerabilities.

Tietoturvainformaation ja -tapahtumien hallinta PCI DSS -standardissa

Työn keskeisimpänä tavoitteena on tutkia SIEM-järjestelmien (Security Information and Event Management) käyttömahdollisuuksia PCI DSS -standardissa (Payment Card IndustryData Security Standard) lähtökohtaisesti ratkaisutoimittajan näkökulmasta. Työ on tehty Cygate Oy:ssä. SIEM on uusi tietoturvan ratkaisualue, jonka käyttöönottoa vauhdittavat erilaiset viralliset sääntelyt kuten luottokorttiyhtiöiden asettama PCI DSS -standardi. SIEM-järjestelmien avulla organisaatiot pystyvät keräämään valmistajariippumattomasti verkon systeemikomponenteista tapahtumatietoja, joiden avulla pystytään näkemään keskitetysti, mitä verkossa on tapahtunut. SIEM:ssa käsitellään sekä historiapohjaisia että reaaliaikaisia tapahtumia ja se toimii organisaatioiden keskitettynä tietoturvaprosessia tukevana hallintatyökaluna. PCI DSS -standardi on hyvin yksityiskohtainen ja sen vaatimusten täyttäminen ei ole yksinkertaista. Vaatimuksenmukaisuutta ei saavuteta hetkessä, vaan siihen liittyvä projekti voi kestää viikoista kuukausiin. Standardin yksi haasteellisimmista asioista on keskitetty lokien hallinta. Maksukorttitietoja käsittelevien ja välittävien organisaatioiden on kerättävä kaikki audit-lokit eri järjestelmistä, jotta maksukorttitietojen käyttöä pystytään luottamuksellisesti seuraamaan. Standardin mukaan organisaatioiden tulee käyttää myös tunkeutumisen ja haavoittuvuuksien havainnointijärjestelmiä mahdollisten tietomurtojen havaitsemiseksi ja estämiseksi. SIEM-järjestelmän avulla saadaan täytettyä PCI DSS -standardin vaativimpia lokien hallintaan liittyviä vaatimuksia ja se tuo samallamonia yksityiskohtaisia parannuksia tukemaan muita standardin vaatimuskohtia. Siitä voi olla hyötyä mm. tunkeutumisen ja haavoittuvuuksien havainnoinnissa. SIEM-järjestelmän hyödyntäminen standardin apuna on kuitenkin erittäin haasteellista. Käyttöönotto vaatii tarkkaa etukäteissuunnittelua ja kokonaisuuksien ymmärtämistä niin ratkaisutoimittajan kuin ratkaisun käyttöönottajan puolelta.

Web-palveluiden turvallisuus tietojärjestelmien välisessä integraatiossa

Tämän diplomityön tavoitteena oli tutkia liiketoiminnallisessaympäristössä olevia Web-palvelu -teknologialla toteutettujen integraatioprojektien tietoturvaa. Web-palvelut ovat SOAP-muotoisia HTTP-protokollalla välitettäviä viestejä, joilla voidaan välittää tietoa tietojärjestelmästä toiseen tai suorittaa liiketoiminnan tapahtumia. Työssä käsiteltiin erilaisia tietoturvallisuuteen vaikuttavia osa-alueita ja niiden sopivuutta Web-palveluihin. Tietoturvaa on käsitelty enimmäkseen liiketoiminnallisesta näkökulmasta. Työssä havaittiin tietoturvan koostuvan monesta osa-alueesta. Osa-alueista muodostuutietoturvallinen kokonaisuus, jossa on mukana valitut teknologiat, haluttu tietoturvallisuuden taso, integroitavat tietojärjestelmät sekä näiden yhteenliittäminen ja prosessit. Jokaisen integraatioprojektin ollessa oma kokonaisuutensa, on yleispätevän tietoturvan rakentaminen vaikeaa. Tämän seurauksena tietoturvaa tulee käsitellä jatkuvasti integraatioprojektin eri vaiheissa tietoturvan vaatimusten mukaan.

Sähköisten reseptien hallinta

Sähköinen reseptijärjestelmä nykyisessä muodossaan sai alkunsa Sosiaali- ja terveysministeriön aloitteesta ja Kansaneläkelaitoksen toimesta vuoden 2001 aikana. Käytössä oleva kansallinen reseptipalvelin mahdollistaa potilaiden oikeudet muun muassa apteekin vapaaseen valintaan ja lääkkeiden suorakorvausmenetelmään. Sähköinen resepti pyritään integroimaan olemassa olevien potilasrekisterijärjestelmien yhteyteen, joten semanttisen webin tuomat teknologiat kuten Web-palvelut ja XML-pohjaiset kielet ovat tärkeässä asemassa reseptien hallinnassa. Tässä työssä pyritään esittämään sähköisen reseptijärjestelmän toimintaa ja sen mahdollistavia jo olemassa olevia tekniikoita. Esille tuodaan myös uusia lisäarvoa tuovia tekniikoita, kuten RDF(S)-kuvauskielet, jotka mahdollistavat muun muassa resepteihin kohdistuvat kyselyt ja täten uudet terveyspalvelut sekä potilaille että lääkäreille. Oleellista on tietenkin myös tietoturva, sillä organisaatioiden välillä resepteissä liikkuu arkaluontoisia tietoja. Turvallisuutta pyritään edistämään muun muassa sähköisillä allekirjoituksilla ja älykorttien avulla tapahtuvalla järjestelmään tunnistautumisella. Jotta sähköinen resepti toimisi tulevaisuudessakin halutulla tavalla ja mahdollistaisi lisäarvopalveluita, on siinä panostettava sisällön lisäksi senkuvaamiseen. Sisällön ja sen suhteiden tarkka määrittely auttaa muun muassa reseptikyselyjen tekemisessä, mikä onkin olennainen osa potilasturvallisuuden ylläpitoa. Kuvauskielien ja ontologioiden käyttö voi myös auttaa lääkehoidon määrittämisessä useiden erilaisten ja jatkuvasti lisääntyvien lääkkeiden viidakossa, kun lääkkeitä voidaan etsiä tietokannoista reseptin kirjoituksen yhteydessä.

Tietopääomaresurssit ja riskienhallinta

Työn tavoitteena oli selventää tietopääomaresurssien merkitys liiketoiminnassa riskien hallinnan kohteina. Tarkoitus oli määrittää eri tietopääomaresurssit ja niihin liittyviä riskejä. Tutkimus on kirjallisuustutkimus. Tutkimuksen tuloksena oli, että tietopääomaresursseihin kohdistuu erilaisia riskejä ja, että liiketoiminnalle tärkeät ja kriittiset tietopääomaresurssit ovat riskienhallinnan kohteita. Tutkimuksessa syntyi tietopääomaresurssien hallintamalli,jossa 1) toimintatapa yhdistää 2) osaamisen, 3) tiedot ja tietovarannot sekä 4) aineettomat oikeudet yhteneväiseksi kokonaisuudeksi. Tutkimuksessa kuvattiin kuhunkin resurssiin mahdollisesti liittyviä riskejä. Tutkimus osoitti, että liiketoiminnan tietopääomaresurssit voidaan tunnistaa ja niiden liiketoiminnallinen merkitys ja suojaustarve arvioida. Tietopääomaresurssien suojauskeinoja ovat yhteistyösopimukset, toimintatavat ja ohjeet sekä tietotekniset ja fyysiset suojausratkaisut.