haku: @keyword information security / yhteensä: 44
viite: 2 / 44
Tekijä: | Yrjölä, Markus |
Työn nimi: | Integrating Security-Critical Intranet Information Systems to Internet Consumer Services |
Tietoturvakriittisten intranet-tietojärjestelmien integrointi internetin kuluttajapalveluihin | |
Julkaisutyyppi: | Diplomityö |
Julkaisuvuosi: | 2015 |
Sivut: | 92 Kieli: eng |
Koulu/Laitos/Osasto: | Perustieteiden korkeakoulu |
Oppiaine: | Ohjelmistotuotanto ja -liiketoiminta (T3003) |
Valvoja: | Kauppinen, Marjo |
Ohjaaja: | Myllärniemi, Varvana ; Hietamies, Olli |
Elektroninen julkaisu: | http://urn.fi/URN:NBN:fi:aalto-201506303571 |
Sijainti: | P1 Ark Aalto 2881 | Arkisto |
Avainsanat: | system integration information security threat modelling enterprise application integration enterprise service bus service-oriented architecture järjestelmäintegraatio tietoturva palveluorientoitunut arkkitehtuuri uhkamallinnus |
Tiivistelmä (fin): | Organisaation liiketoiminnan muuttuvat tarpeet voivat vaatia tietojärjestelmien integroimista, joka mahdollistaa liiketoimintaprosessien virtaviivaistamisen ja optimoinnin. Toisaalta tietojärjestelmäintegraatiot voivat myös kasvattaa tietoturvariskiä, sillä järjestelmien väliset vuorovaikutusmenetelmät voivat olla haavoittuvaisia. Tietoturva on erityisen tärkeässä roolissa silloin, kun intranetissä sijaitseva järjestelmä integroidaan ulkomaailman kanssa, sillä intranet sisältää usein todella arkaluontoista informaatiota. Tämän diplomityön tavoitteena oli selvittää miten intranetissä sijaitseva järjestelmä voidaan turvallisesti integroida julkisen kuluttajapalvelun kanssa. Työ toteutettiin konstruktivistisena tutkimuksena. Työssä tarkasteltiin neljää järjestelmäintegraatioihin liittyvää lähestymistapaa: suora integraatio, Enterprise Application Integration -malli (EAI), Enterprise Service Bus -malli (ESB), sekä palveluorientoitunut arkkitehtuuri (SOA). Kolmea ensimmäistä vertailtiin keskenään, ja jokaisella todettiin olevan omat vahvuutensa ja heikkoutensa. Tämän jälkeen toteutettiin tapaustutkimus, jossa intranetissä toimivan terveydenhuoltojärjestelmän ja julkisen kuluttajapalvelun välille suunniteltiin ja toteutettiin integraatio EAI-mallia käyttäen. Integraation arviointi paljasti monia EAI-mallin tarjoamia hyötyjä liittyen ylläpidettävyyteen, komponenttien irtikytkentään ja keskitettyyn hallintaan. Toisaalta arviointi paljasti myös ongelmia synkronoituun viestintään ja epäluotettavaan viestinvälitykseen liittyen. Integraation tietoturvaa arvioitiin uhkamallinnuksen avulla. Tämä paljasti useita tietoturvauhkia, pääsääntöisesti liittyen todennuksen ja salauksen puutteeseen sekä tunnettuihin haavoittuvuuksiin ulkoisissa ohjelmistokomponenteissa. Tulokset osoittavat, että uhkamallinnus on hyvä menetelmä järjestelmäintegraatioiden tietoturvan parantamiseen, mutta se vaatii tiimityötä ja tietoturvaeksperttien apua ollakseen tehokasta ja kattavaa. |
Tiivistelmä (eng): | Evolving business needs in an organization can require information systems to be integrated with each other, allowing business processes to be streamlined and optimized. However, system integrations can also increase security risks, as the interaction mechanisms can be vulnerable to exploitation. Security is especially important when a system in an intranet is integrated with the outside world, as the intranet often contains very sensitive data. The goal of this thesis was to determine how an intranet system can be securely integrated with a publicly accessible consumer service. Design Science was used as the research method of this work. Four approaches related to system integration were analyzed: point-to-point integration, Enterprise Application Integration (EAI), Enterprise Service Bus (ESB), and service-oriented architecture (SOA). The three former were compared with each other, and each was found to possess a distinct set of benefits and disadvantages. A case study was then performed, where an integration was designed and implemented between an intranet healthcare system and a publicly available consumer service using the EAI pattern. The evaluation of the integration showed several benefits from using EAI related to maintainability, decoupling of components and centralized control. However, problems were also found with regards to using synchronous communication and lacking assurances of successful message delivery. In order to evaluate the security of the integration, threat modelling was performed. This revealed several potential security threats targeted at the integration, related primarily to lack of authentication and encryption, and known vulnerabilities in external software components. The results indicate that threat modelling is a good technique for improving the security of system integrations, but teamwork and assistance from security experts are needed to make it effective and comprehensive. |
ED: | 2015-08-16 |
INSSI tietueen numero: 51987
+ lisää koriin
INSSI