Security in application integration

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Helsinki University of Technology | Diplomityö
Checking the digitized thesis and permission for publishing
Instructions for the author
Date
2005
Major/Subject
Tietoliikennetekniikka
Mcode
S-72
Degree programme
Language
en
Pages
x + 113
Series
Abstract
Sovellusintegraation päämääränä on yhdistää sovelluksia toisiinsa. Useat pienet sovellukset voivat näin toimia yhdessä näennäisesti yhtenä suurena sovelluksena. Loppukäyttäjä ei välttämättä edes huomaa usean sovelluksen olevan prosessissa mukana. Yritystenvälinen sovel1usintegraatio (Business-to-Business integration, B2Bi), yhdistää jopa eri yritysten sovelluksia toisiinsa, joka helpottaa tiedonvälitystä toimitusketjussa. Yrityksen sisäinen sovellusintegraatio (Enterprise Application Integration, EAI) yhdistää saman yrityksen sovelluksia toisiinsa. Tietoturvan tarkoituksena on suojata informaatiota, joka on usein yrityksen tärkein kilpailuetu, sekä käyttäjiä. Tietoturva on perinteisesti jaettu kolmeen osa-alueeseen: luottamuksellisuus, eheys ja käytettävyys. Ainoastaan todennettujen käyttäjien tulisi päästä käsiksi salaiseen tietoon - tai muuttamaan sitä. Lisäksi tiedon tulisi olla käytettävissä aina tarvittaessa. Jos järjestelmä täyttää nämä kolme määrettä, sitä voidaan pitää melko turvallisena perusmääritelmän mukaan. Toinen tärkeä määritelmä jakaa tietoturvan todentamiseen, valtuutukseen ja kirjanpitoon. Tietoturvaan liittyy luonnollisesti lukuisia muitakin näkökulmia. Tämän diplomityön osana eräässä yrityksessä tehtiin riskianalyysit ja tietoturvakartoitukset sen kolmelle sovellusintegraatiojärjestelmälle: EAI:lle, EDI:lle ja RosettaNetille. Sovellusintegraatiojärjestelmät ovat keskeinen osa yrityksen verkkoarkkitehtuuria, joten niiden tietoturvaa ei sovi vähätellä. Tietomurto integraatiojärjestelmässä vaarantaa yrityksen muidenkin sovellusten tietoturvan, sillä integraatiojärjestelmästä on luonnollisesti yhteys useisiin sovelluksiin. Järjestelmän läpi myös kulkee paljon salaista tietoa, kuten taloudellisia tietoja ja käyttäjien henkilökohtaisia tietoja. Integraatiojärjestelmien käytettävyysvaatimukset ovat hyvin korkeat, sillä monien muiden sovellusten toiminta riippuu niistä. Jos integraatiojärjestelmä on epäkunnossa, muutkaan sovellukset eivät voi toimia normaalisti. Tietoturvakartoitukset osoittavat, että kaikkien yrityksen sovellusintegraatiojärjestelmien tietoturvallisuudessa on parantamisen varaa. Vaikka kaikilla järjestelmillä on omat piirteensä, integraatiojärjestelmien iät heijastuvat niiden tietoturvallisuuteen. Uusin yrityksen integraatiojärjestelmistä, RosettaNet, vaikuttaa selkeästi turvallisemmalta kuin EAI ja EDI Sovellusintegraatiojärjestelmän tietoturvallisuuteen vaikuttaa sen iän lisäksi toki painavampiakin tekijöitä B2Bi-jarjestelmille on olemassa tietoturva-ammattilaisten kehittämät yleiset tietoturvastandardit. Vaikka EDI on samaan tapaan integraatiostandardi kuin RosettaNet, sen tietoturvaratkaisuissa on useita tuntemattomia tekijöitä, mikä on tietoturvan kannalta ongelmallista. Yrityksen näkyvyys sen omien rajojen ulkopuoliseen EDI-järjestelmään on hyvin rajallinen. EAI-järjestelmälle ei ole yleisiä tietoturvastandardeja koska se ei ole minkään ulkoisen standardin mukainen Yrityksen on siis helpompaa muuttaa sen tietoturvamekanismeja Monia tietoturvaparannuksia, esimerkiksi liittyen todentamiseen, ehdotetaan ja on toteutettu, mutta järjestelmien perusarkkitehtuuria ei voida muuttaa ennen seuraavia suuria päivityksiä
Description
Supervisor
Korhonen, Timo O.
Keywords
information security, tietoturva, application integration, sovellusintegraatio, EAI, EDI, RosettaNet
Other note
Citation